后台服务器的 csrftoken 是如何起到防御 csrf 的作用的？

对 csrftoken 的概念不了解，我的理解是发 post 请求前，先向后台请求一个一次性的 token，然后 post 请求带上这个 token ？

一般请求比如发表新的文章，后端应该是需要验证用户凭证 uuid 的吧。uuid 如果没被盗取的话请求不会通过，uuid 被盗取应该可以利用它来获取 csrftoken，那么 csrftoken 就没有必要？
不过大部分后台服务器都能配置 csrftoken 那么它肯定有效用的。请教下我的理解错在哪里了。

wwqgtxx

2018-06-23 17:35:38 +08:00

你还是先查一下 csrf 这个简写是什么意思再过来问比较好

beny2mor

2018-06-23 18:06:19 +08:00

@wwqgtxx 跨域攻击... 那如果限制了 Access-Controll-Allow-Origin 还有必要使用 csrftoken 吗？

beny2mor

2018-06-23 18:16:11 +08:00

@ipwx 其实是这样，我爬数据的时候做了登录，结果发现有个 csrftoken 参数找不到。分析页面源码找到 token 的请求方式，请求新的 csrftoken 需要就的 csrftoken 作参数，这就限制了我并发爬取..
感觉 csrftoken 在防爬虫方面比防 csrf 更有效.. 毕竟主流浏览器都实现了 Access-Controll-Allow-Origin 能够很好地避免 csrf 攻击

wwqgtxx

2018-06-23 21:48:53 +08:00

@beny2mor Access-Controll-Allow-Origin 出现的还是比较晚的，部分古老的浏览器不支持，而 csrftoken 则没有这个问题，另外 csrftoken 还能阻止 get 模式下的跨域攻击，而 acao 并做不到（根据 mdn 文档，acao 对 get 请求无效）

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/465282

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.