recreando el token CSRF después del uso [duplicado]

Navega tus respuestas
0

¿Es una buena práctica volver a crear el token CSRF una vez que se haya utilizado (básicamente, crear una nueva tomada después de que se envíe una solicitud posterior)? ¿O es una medida innecesaria para tomar? Mi sistema actual está recreando el token después de cada solicitud de publicación / eliminación / colocación y actualmente me está causando algunos problemas serios con una parte de mi código donde necesito realizar varias solicitudes POST una tras otra, y dado que el sistema reinicia el token a medida inicia la solicitud POST, las otras solicitudes obtienen el error "Token no válido".

    
pregunta Gasim 04.09.2014 - 21:01
fuente

1 respuesta

5

Creo que solo debes crear / cambiar el token en cada inicio de sesión de usuario. Si cambia el token a mitad de la sesión, invalidará todos los enlaces que el usuario podría haber abierto en nuevas ventanas. Y tendrás muchos usuarios confundidos.

Si lo piensas bien, no hay ninguna adición a la seguridad al cambiar el token. Si algún atacante no puede adivinar la primera etiqueta, no podrá adivinar la nueva. Si el primer token es adivinable, cualquier otro token también lo será.

    
respondido por el ThoriumBR 04.09.2014 - 21:08
fuente

Lea otras preguntas en las etiquetas

¿Puedo usar de manera segura mis propias estadísticas para evaluar la seguridad de la contraseña en el número de veces que se usa una contraseña? ¿Cómo puedo proteger mi archivo de hosts?