我知道什么是CSRF攻击，我已经阅读了有关它的文档，但是我无法深入理解CSRF保护的工作原理，并且有一些我找不到的一般性问题。在documentation它说Laravel自动为生成一个token...eachactiveusersessionmanagedbytheapplication.它在哪里创建token(代码的哪一部分触发它)？token创建后存储在cookie中的什么位置？在session上？我如何提取并查看已存储的内容？这一切实际上是由session.php控制的吗？这是什么意思，当我重新加载页面时，token是否仍然与session.php具有120分钟的默认生命周期相

我有一个ajax函数可以触发从我的数据库中删除条目。我需要对其进行CSRF验证。我该怎么做？我发送了CSRFcookie和我的发布请求，但是Yii2.0没有验证它并且通过ajax传递的任何输入都到达了服务器。如何对ajax请求进行CSRF验证。是否需要手动设置cookie并检查？ 最佳答案 您不需要手动设置cookie。如果您使用的是jQuery，CSRFtoken将自动发送。例如，对于AngularJS，您可以手动添加它来请求这样的参数:yii.getCsrfParam():yii.getCsrfToken()确保你有YiiAss

我对使用ajax提交的表单有疑问。我使用ZendFramework制作表格。有些是真实的形式，所以我添加了一个Hash元素。其他用于小型操作(例如此处的赞成票和反对票)，因此我使用链接进行操作。我的问题是我需要使用ajax，尤其是对于小表单(链接)。我看到很多问题，但没有足够全面的问题来解决问题。关于通过ajax提交表单时如何使csrftoken顺利工作的详细描述？最好使用ZendFramework，但一般的PHP答案也会有所帮助。 最佳答案 您不需要CSRFtoken。您可以使用HTTP_X_REQUESTED_WITH方法(参见

我目前正在将CSRF保护实现到我的框架(PHP)中。但是我想知道:攻击者是否可以在(隐藏的)iframe中加载我的页面(获取token)并使用JavaScript更改一些数据？然后提交表单？ 最佳答案 除非攻击者的页面与您的页面具有相同的域、协议(protocol)和端口(如果是，您可能遇到更严重的问题)，他们将无法读取iframe的HTML因为SameOriginPolicy. 关于php-CSRF保护问题，我们在StackOverflow上找到一个类似的问题：

我正在尝试在一个应用程序中实现针对CSRF的保护。在PHP中它实现起来相对简单。我对如何使用Extjs有很多疑问。我阅读的EXTJS书籍没有解决这个主题，我无法在互联网上找到关于这个主题的具体指导-使用EXTJS-。一些问题:使用PHP，token发送到EXTJS？我是否必须像在PHP中那样在每种形式中创建一个隐藏字段？我是否必须将Ext.Ajax.requestt中的token发送到服务器端？这该怎么做？一些非常简单的代码作为起点:类token:https://www.youtube.com/watch?v=VflbINBabc4查询{'cars'};if(Token::check(

在HTTPheader中使用X-CSRF-Token或token有什么区别在隐藏字段中？何时使用隐藏字段以及何时使用header，为什么？我认为X-CSRF-Token是在我使用JavaScript/AJAX时，但我不确定。 最佳答案 CSRF保护有多种方法。传统方式(the"Synchronizertoken"pattern)通常涉及为每个请求设置唯一的有效Token值，然后在随后发送请求时验证该唯一值。通常通过设置隐藏的表单字段来完成。token值通常是短暂的并与该session相关联，因此如果黑客试图重用他们之前在页面上看到的

我必须处理一个网页。本网页基于YII框架，登录页面受CSRFtokens保护。当我通过POST方法传递登录凭据时。我收到error400和TheCSRFtokencouldnotbeverified消息。我不知道如何绕过这种保护。我不明白这个机制。当我通过Chrome浏览器登录时，我看到了POST消息的样子。它有4个参数:CSRFkey、登录名、密码、一个空变量。浏览器如何获取正确的CSRFkey以进行打磨？我有这个网页的登录名和密码，我可以作为普通用户登录。只有登录页面受到CSRF保护。我可以在正常登录时使用浏览器创建的cookie(如何操作)，将此cookie提供给cURL并开始处

我有一个Web表单并且我正在使用PHP。我知道可以操纵表格(我相信这称为重放攻击或中间人攻击)。所以我想使用一些真实性token作为隐藏字段。我知道的威胁可能性是:攻击者劫持合法用户的表单(我认为这是中间人攻击)合法用户本身就是攻击者:他获取表单，读取token但使用它发送危险数据(我认为这是重放攻击)在我开始提问之前，如果我到目前为止所说的任何内容不正确，请纠正我，因为我的理解可能有缺陷。现在回答问题:生成此token以便拒绝没有它的表单的最佳做法是什么(例如，加盐？)。人们如何确保token不被重放。基于评论的新小问题:session劫持与中间人攻击一样吗？

什么时候用隐藏字段，什么时候用header，为什么？X-XSRF_TOKEN我们什么时候用？X-CSRFTOKEN我们什么时候用？ 最佳答案 所有这些都是为了防止跨站请求伪造，在向后端发送请求时只需要使用其中一个。不同的名称来自不同的框架。这都是关于发送csrfvalue后端。然后后端会将它与存储在该特定用户的数据库中的csrf值进行比较，如果匹配，它将允许处理请求。csrf:用于html表单(不是ajax)在呈现html表单时在后端生成。我们不能直接在html表单中设置请求头，所以一个简单的方法是通过表单输入将其作为隐藏字段发送。

我正在学习laravel框架，我已经安装了5.0版本。我将它用于jsonapi服务，它将在调用特定路由后提供JSON输出。如果我从浏览器请求URL，它工作得很好。但是当我试图从我的android应用程序访问时，它给出了错误，即文件未找到异常(java.io.filenotfoundexception)。检查日志后，我发现laravel有token不匹配异常错误。laravel需要csrftoken来访问它的资源。我可以选择禁用该身份验证，但它似乎不太安全。我能否以某种方式允许从我的android应用程序而不是其他应用程序访问laravel应用程序？我们可以从Android应用程序指定c