java为什么在web应用程序中禁用刷新是个好主意(出于安全目的)
我们正在对代码进行XSRF修复。我们使用会话令牌请求令牌比较方法来实现这一点。如果会话令牌不等于请求令牌,我们将重定向到错误页面
问题:一旦进入主菜单页面,如果用户“刷新”页面,就会引发XSRF问题。 原因:因为不会有任何请求令牌(当我们刷新页面时)。由于请求令牌为空且不等于会话令牌,因此引发了XSRF错误
应用程序的用户对这种方法不太满意。那么,有没有办法启用页面刷新?或者禁用页面刷新(出于安全考虑)是绝对必要/重要的吗
提前谢谢
共 (0) 个答案