Протокол HTTP является лицом без гражданства
- Использование куки + сеанс в веб-технологии, чтобы сохранить статус входа пользователя
- Используя маркер для мобильного терминала пользователя войти в состоянии, так как маркер остается в сети передачи, посредник легко усваивается, и, таким образом аналоговая операция соответствующего пользователя
Решение:
- Серверный
В ответ на случайную строку головок с csrf_token = XXXXXXXXXXX (разные для каждого запроса)
- клиент
- Клиент и сервер, чтобы сохранить секретный ключ = YYYYYYYYY
- Клиент получает заголовок ответа csrf_token следующий запрос должен нести
- Клиент (секрет представления +) должен быть подписан
Когда пользователи передают информацию на сервер, сначала проверить данные подписи были подделаны, а затем знак + случайного совпадения строк, правильно выполнить операцию, обновить случайную строку, даже если он получает маркер посредник, не случайная строка до сих пор ничего не мог сделать операции, а затем добраться до худшей точки посреднической случайной строки перехватывает заголовок ответа, но ключ не будет нарушена, нет никакого способа, чтобы подписать еще не могут выполнить операцию
Недостатки:
выше решение относится только к APP конца, браузер не применяется, потому что нет места , чтобы сохранить ключ
Краткое описание:
Мы можем использовать HTTPS на HTTPS это!