关于Token的简要理解
来源:互联网 发布:淘宝嘉年华报名要求 编辑:程序博客网 时间:2024/05/16 10:34
在虚拟机平台上,第一次接触到Token的时候觉得每次都要重新获取Token显得非常麻烦,当我理解到了Token的功用时候,觉得这样的技术是还是非常好的,主要是为了防止跨站请求伪造CSRF攻击。
Token 目前主流的做法是使用Token抵御CSRF攻击。
下面通过分析CSRF 攻击来理解为什么Token能够有效 CSRF攻击要成功的条件在于攻击者能够预测所有的参数从而构造出合法的请求。
所以根据不可预测性原则,我们可以对参数进行加密从而防止CSRF攻击。
另一个更通用的做法是保持原有参数不变,另外添加一个参数Token,其值是随机的。
这样攻击者因为不知道Token而无法构造出合法的请求进行攻击。
Token 使用原则 Token要足够随机
————只有这样才算不可预测 Token是一次性的,即每次请求成功后要更新Token
————这样可以增加攻击难度,增加预测难度 Token要注意保密性
————敏感操作使用post,防止Token出现在URL中
0 0
- 关于Token的简要理解
- 关于token的个人理解(个人)
- 关于各种编码的简要理解
- 关于WAF防护CSRF的token机制问题理解
- 简要的理解HashMap
- 关于Struts的Token
- 关于Struts的Token
- 关于token的作用
- cookie、session、token的理解
- mvc架构的简要理解
- 关于FLEX的event,token,
- 关于token验证的了解
- 关于token的一些内容
- 关于博客的简要说明
- 关于触摸屏的简要知识
- 关于字符串的简要摘记
- 理解 Keystone 的四种 Token
- 理解 Keystone 的四种 Token
- Oracle的sys和system默认密码
- 【搜索】 HDU 1664 Different Digits
- cas入门之二十九:cas 集群简介
- 关于覆盖BIN来升级client的问题
- 函数的使用——根据传入的值,打印出相应的矩形。
- 关于Token的简要理解
- poj 3070 矩阵快速幂简单题
- Python装饰器学习(九步入门)
- 在ubuntu中配置中文版man手册
- HDU 1003 Max Sum(最大子列和)
- install oracle java in ubuntu 12.04
- 百度地图初步Hello BaiduMap——(参考Baidu官网)
- IAR中代码在flash和ram中调试流程
- RHCE6 Preperation (2) - yum source and auto mount