我最近读过有关csrf令牌的文章.我正在使用YII框架来开发我的项目.我在config / main.php中启用了csrf验证,yii将一个令牌放在隐藏的表单字段中.并检查令牌是否有效.一切都好.但我观察到,当我刷新并且页面中的所有表单都使用相同的令牌时,CSRF令牌的值不会改变.
这让我很困惑.如果csrf令牌没有改变,那么任何黑客也可以在他的请求中使用该令牌,并且能够产生有效的请求.那么csrf令牌如何提供安全性呢?这是YII框架的问题吗?还是我错过了一些东西?我希望我错过了什么.如果我们必须手动生成令牌,请告诉我如何生成和验证(最好在YII框架中)
最佳答案 每个会话实现Csrf令牌生成.
黑客如何将令牌生成到您的会话中?
每个请求令牌生成也有一个过程,但我认为这不是yii中的好方法.
problem with per request token generation