最近新接触了CSRF的漏洞,经过简单的学习后,有些疑惑。
修复漏洞可以通过增加TOKEN校验,但是如果攻击者同时重放了生成TOKEN的请求,那TOKEN不就没有意义了吗?
收起
当前问题酬金
¥ 0 (可追加 ¥500)
支付方式
扫码支付
支付金额 15 元
提供问题酬金的用户不参与问题酬金结算和分配
支付即为同意 《付费问题酬金结算规则》
说的对,但是好的 Token 措施增加了csrf 的难度和时间成本,某种程度上还是有用的。
报告相同问题?