在虚拟机平台上,第一次接触到Token的时候觉得每次都要重新获取Token显得非常麻烦,当我理解到了Token的功用时候,觉得这样的技术是还是非常好的,主要是为了防止跨站请求伪造CSRF攻击。
Token 目前主流的做法是使用Token抵御CSRF攻击。
下面通过分析CSRF 攻击来理解为什么Token能够有效 CSRF攻击要成功的条件在于攻击者能够预测所有的参数从而构造出合法的请求。
所以根据不可预测性原则,我们可以对参数进行加密从而防止CSRF攻击。
另一个更通用的做法是保持原有参数不变,另外添加一个参数Token,其值是随机的。
这样攻击者因为不知道Token而无法构造出合法的请求进行攻击。
Token 使用原则 Token要足够随机
————只有这样才算不可预测 Token是一次性的,即每次请求成功后要更新Token
————这样可以增加攻击难度,增加预测难度 Token要注意保密性
————敏感操作使用post,防止Token出现在URL中