问题描述
我对CSRF令牌和“新选项卡”在浏览器中存在疑问(我不是网络开发人员,因此我觉得有点混乱)。假设我们有以下情形:
- 用户连接到
webpage.com
。 - 使用他的
login
和password
登录(或其他方式)。 - 服务器使用
session-ID
生成了一个cookie,并投放了一个token
来阻止CSRF响应。例如,在这种情况下,HTML(STP)内的隐藏头中。因此,现在令牌位于网页内部,并且由于Same Origin Policy
,另一个网页无法访问Token
。所以现在我们受到保护了。
假设用户关闭了一个网页, 但未注销 。然后,用户打开另一个选项卡并键入相同的webpage.com
。
我的问题从这里开始-
-
webpage.com
将如何知道这是一个合法用户,而不是试图使用我们的cookie
和session id
的恶意链接? -
webpage.com
从哪里去token
?特别是如果我们在浏览器中关闭了一个标签页,则不会隐藏html。 - 如果我们将先前的令牌存储在本地某个地方-那么在哪里?这个地方如何受到保护?这个过程本身对我来说还不清楚。
注意:现在,我仅以STP实现方式为例。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)