XSRF令牌应该存储在cookie还是会话中？

On a PHP project I'm working on, I'd like to implement an anti XSRF mechanism. I'm generating a random token and I store it in my session $_SESSION['token']. When I submit a form, I include my session token in a hidden field and verify if the transmitted token == stored token.

My question is, What is the security impact if I store this token in a cookie ?

I think both solutions are exploitable in case of XSS for example, and I'm not able to see which storage is the best for the token.

Thanks for you help.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongmeng1875 2012-07-04 14:53
关注
If you follow the normal procedure to generate the token (something like sha1( $username.$private_per_session_passphrase)), I don't think it makes much difference, you can either put your token in a cookie or session var and you should be clear of CSRF vulnerabilities.

The main thing to consider is that the POST cannot be successful until you match the received token with yours (cookie/session). In other words, the page request should not be self-contained.

These may be interesting:

Is it ok to use the (cryptographically strong) session cookie as CSRF token?

CSRF token generation

Why codeigniter2 doesn't store the csrf_hash in a more secure way, such as session?

And this paper describes CSRF + XSS attacks:
https://www.htbridge.com/publications/xss_csrf_practical_exploitation_of_post_authentication_vulnerabilities_in_web_applications.html
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

后端已经设置了跨域,前端还是报错 laravel vue.js
2022-05-07 11:40

回答 2 已采纳其他接口也是这种以.连接的吗（user.status.update）
提取token或者说xsrf-token python
2022-06-02 18:01

回答 2 已采纳 Python接口自动化之Token详解及应用_普通网友的博客-CSDN博客_python token 在上一篇Python接口自动化测试系
Laravel csrf令牌与ajax POST请求不匹配 ajax jquery laravel php
2015-09-23 11:47

回答 11 已采纳 You have to add data in your ajax request. I hope so it will be work. data: { "_token": "
alt-xsrf:用于替代会话的反 XSRF 中间件
2021-06-15 20:52

防 XSRF 中间件这个 XSRF 预防中间件：在 Redis 支持的会话中存储 XSRF 秘密在res.locals变量xsrfToken上公开一个令牌通过 cookie 公开令牌如果不被忽略，则验证传入的令牌注意：这个中间件需要预先安装。...
Laravel中NPM，Composer和Bower的区别？ node.js npm php
2018-05-14 17:09

回答 1 已采纳 First of all a short explanation about the three dependency managers. Composer Composer is a too
在PHP中解析字符串并创建一个数组 php
2016-10-30 13:01

回答 1 已采纳 This should work perfectly <?php $string = 'HTTP/1.1 200 OK Set-Cookie: LWSSO_COOKIE_KEY=UUo0
禁用特定路由上的Cookie - Laravel 5.7 laravel php
2019-05-23 05:28

回答 1 已采纳 I solved this problem myself, I switched the route to a new middleware class that was not the defa
前端数据存储系列（Cookie、Session、localStorage、sessionStorage、Token）
2022-10-28 11:43

AC_uv的博客当下客户端再向服务端发起请求时，客户端会自动在请求报文中加入Cookie值之后发送出去保存时间：默认情况下，当浏览器关闭后，Cookie数据被销毁持久化存储：正数：将Cookie数据写到硬盘的文件中。持久化存储。
Laravel - pdf文件的响应返回奇怪的文本而不是在浏览器中显示pdf jquery php
2018-08-31 10:25

回答 1 已采纳 My Workaround: Instead of using the local storage facility of laravel, I will use Drop Box to sto
请问新版知乎登陆的cookie值一直报错，没法登陆，该怎么办呀 python 有问必答爬虫
2021-12-22 16:07

回答 2 已采纳代码没问题，cookie过期了，重新登录通过浏览器获取最新cookie就能获取到内容了
Laravel api将401返回到前端 laravel php vue.js
2019-02-04 11:36

回答 1 已采纳 it was my fault, when I was setting up my application I didn't run 'composer require laravel/passp
Appscan漏洞之加密会话（SSL）Cookie中缺少Secure属性
2021-05-14 11:45

微微微微风！的博客任何以明文形式发送到服务器的 cookie、会话令牌或用户凭证之类的信息都可能被窃取，并在稍后用于身份盗窃或用户伪装，此外，若干隐私法规指出，用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。...
在Laravel应用程序上进行Locust登录测试 laravel php python
2017-11-15 15:19

回答 1 已采纳 Found the answer: Reason is that I'm passing wrong value for _token field. Instead, if you face s
【前端知识】Cookie, Session,Token和JWT的发展及区别（四）
2023-05-20 16:57

xiaobai_Ry的博客在终章笔记中主要介绍一下JWT以及总结Cookie到JWT的区别与发展，包括JWT的定义，特点，重要属性，优缺点，作用和使用场景，Cookie到JWT场景，安全等的区别。上章：主要介绍背景和Cookie 中章：主要介绍一下Session...
java cookie 刷新_两个令牌安全：常规cookie中的JWT / Oauth2加上HttpOnly cookie中的OAuth2刷新令牌？...
2021-03-17 18:53

weixin_39731456的博客我提出了一个涉及使用两个令牌的安全流程，并且为我提供了避免需要额外的服务器端会话存储的优势：第一次加载客户端JS应用程序时，用户将用户名/密码 over SSL 发送到OAuth2服务器 . 服务器将设置一个cookie(客户端...
html 写入cookie,html - 本地存储与Cookie
2021-06-11 13:53

饭斯特Fanst的博客在JWT的背景下，Stormpath撰写了一篇相当有用的文章，概述了存储它们的可能方法，以及与每种方法相关的(dis-)优势。它还简要概述了XSS和CSRF攻击，以及如何对抗它们。我附上了以下文章的一些简短片段，以防他们的...
CSRF检测工具（XSRF检测工具）使用说明
2023-12-21 11:40

墨痕诉清风的博客添加Cookie-c或--cookies此选项可帮助您提供一个逗号分隔的外部自定义cookie列表，这些cookie将在所有请求期间使用。自定义用户代理此选项（）使能够提供自定义的用户代理值。请求超时--timeout7 seconds。
2024年最新前端面试题
2022-03-04 10:07

Robergean的博客持续更新中。。。。
cookie、session、token 的 api
2022-04-22 15:10

song854601134的博客什么是 Cookie HTTP 是无状态的协议（对于事务处理没有记忆能力，每次客户端和服务端会话完成时，服务端不会保存任何会话信息）：每个请求都是完全独立的，服务端无法确认...cookie 存储在客户端： cookie 是服务器发
没有解决我的问题, 去提问

悬赏问题

¥100 支付宝网页转账系统不识别账号
¥15 基于单片机的靶位控制系统
¥15 AT89C51控制8位八段数码管显示时钟。
¥15 真我手机蓝牙传输进度消息被关闭了，怎么打开？(关键词-消息通知)
¥15 下图接收小电路，谁知道原理
¥15 装 pytorch 的时候出了好多问题，遇到这种情况怎么处理？
¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
¥15 手机接入宽带网线，如何释放宽带全部速度
¥30 关于#r语言#的问题：如何对R语言中mfgarch包中构建的garch-midas模型进行样本内长期波动率预测和样本外长期波动率预测
¥15 ETLCloud 处理json多层级问题

XSRF令牌应该存储在cookie还是会话中？

1条回答 默认 最新

悬赏问题

1条回答默认最新