В своем предыдущем блоге я говорил о том, что такое CSRF-атака, если вы этого не читали. Я предоставлю эту ссылку здесь. (для блога CSRF)
Шаблон токена синхронизатора (STP) - это метод, который мы используем для предотвращения атак CSRF. Итак, теперь давайте посмотрим, как работает этот механизм предотвращения
Как предотвратить?
На этом рисунке показано, как работает Шаблон токена синхронизатора (STP)
. На этом рисунке сначала клиент отправляет запрос входа и свои учетные данные на сервер, затем сервер отправляет файл cookie set и идентификатор сеанса для отслеживания состояния клиента.
когда клиент получает набор cookie и идентификатор сеанса от сервера. Клиент сохраняет эти данные в клиентских веб-браузерах и отправляет обновленное состояние на сервер. после этого клиент запрашивает токен CSRF с сервера с помощью почтового запроса AJAX. когда сервер получает запрос генератора CSRF, он генерирует токен CSRF для клиента и отправляет его через скрытое поле, а сервер также сохраняет копию токена CSRF для проверки токена. с этого момента, когда клиент отправляет запрос на любое изменение на сервере, он проверяет токен и выполняет свою функцию.
здесь я создал образец проекта для шаблона токена синхронизатора щелкните, чтобы получить код
сначала нам нужно войти на страницу, используя
имя пользователя → admin
пароль → пароль
после входа в систему мы можем получить такую страницу
когда мы вошли на домашнюю страницу, файл cookie сеанса и токен CSRF сгенерированы с помощью нашего кода javascript и сохранены в файле на сервере и сохранены в функции set cookie.
когда мы обновляем сообщение, он отправляет запрос на обновление с токеном, чтобы проверить, является ли он действительным пользователем или нет.
здесь я использовал алгоритм хеширования md5 для создания токена, сохранил его в файле savedtoken.txt и сохранил в сеансе.
когда пользователь обновляет сообщение, он проверяет токен с помощью механизма, упомянутого в приведенном выше
вот как это выглядит, когда это действительный запрос
вот как это выглядит, когда он действителен
