javascript - Axios 获得不同的 X-CSRF 令牌,然后是 Postman
问题描述
为什么我从 axios 请求中获得的 x-csrf 令牌与从邮递员获得的不同?这就是我得到它的方式
headers: {
"X-CSRF-Token": "FETCH"
}
此外,我无法在 Postman 中使用我的 axios 请求中的 x-csrf 令牌,它被拒绝并显示它不是有效的 x-csrf 令牌的错误消息
每次我发出 GET 请求时,来自 axios 的令牌也不同。来自 Postman 的令牌在 10-15 分钟内保持不变。
来自邮递员的令牌:t7HbFUE0sgE4vM36BN_u_Q==
来自 Axios 的令牌:16c47S-pA5oxZu6t_pUi8Q==
解决方案
为什么我从 axios 请求中获得的 x-csrf 令牌与从邮递员获得的不同?
如果攻击者可以预测将给予用于攻击的浏览器的令牌,那么 CSRF 防御将毫无用处。
为每个…生成一个唯一的 CSRF 令牌(通常是浏览器会话,有时是页面加载,有时是介于两者之间)并与(通常)具有会话/cookie 的特定客户端相关联。
推荐阅读
- excel - 将单元格值从一张表复制到另一张表,并将其粘贴到具有特定值的单元格附近
- apache-nifi - 流文件卡在队列中(Apache NiFi)
- ios - 在 Swift 的函数错误中无法调用非函数类型“SwipeCard”的值
- python-3.x - 将数据框中的列添加到具有相同行的另一个数据框中
- r - R模拟空间点数据,其中点与前一点的距离最大
- power-automate - Power automate notification during work hours
- python - 制作滚动条但不一致
- django - 为什么 request.user == 'admin' 条件语句在 Django3 views.py 中不起作用?
- c# - 实体修改记录不跟踪
- reactjs - 如何使用 React ref 聚焦和选择复选框?