csrf-token写在head的meta里,面怎么做到防止csrf?

不是simaguo 发布于 2015/11/01 21:51
阅读 3K+
收藏 0

我看到有些网站,有csrf-token写在head的meta里面,如:

<meta name="csrf-param" content="_csrf">
<meta name="csrf-token" content="TXBNMXVFbWcAEmBkNhw/EXsRDwY0ExwVJDc4ckcpKVYdFXxDDyRYIQ==">

meta起什么作用?这个怎么做到防止csrf?后台是怎么处理的?还是其没有什么作用,只是看看而已?

加载中
0
pantrick
pantrick
不是看看而已,这些crsftoken是由服务器生成的,每次提交都会和服务端存的对比,不属于该应用的页面是不可能得到正确的token的
不是simaguo
不是simaguo
放在meta里,怎提交?
0
游走的鱼
这个可以给ajax请求时 可以用到的哦
游走的鱼
回复 @simaguo : 方便啊 你可以可以把到它放到一个全局的js对象里 可以啊
不是simaguo
不是simaguo
既然给ajax,那为什么放在meta里
返回顶部
顶部