请问为什么 token 能抵御 csrf?

你都能冒用 token 了 说明你已经能够完整控制一个网站的前端了

这种情况下需要防御的不是 csrf 了

是 xss

请好好理解一下什么是 csrf

请好好理解一下什么是 csrf +1

@littleylv
@b821025551b token 不是抵御 csrf 的机制之一吗? 请大佬指点

@zzNucker 可能我理解的冒用 token 理解有误,token 不是很好获取吗?

我理解 CSRF 通常是一步操作，比如说一个提交。但是加了 token 之后， 变成了两步（获取 Token + 发送 Token ），而在第三方网站要同时做到读取和发送是不太可能的。

@yaphets666 #4 去看一下 CSRF 原理，比如你现在在 V2EX，我通过脚本等方式直接在后台发了个帖子，你想想 Token 的作用

每次请求时 CSRF Token 都是不同的，你除非能控制前端，否则如何成功呢？

csrf 解决的是冒用 cookies 层面的问题

“如果我冒用 token” 这几字就表示和 CSRF 已经没关系了

CSRF 中文名字叫：跨站请求伪造，你都能拿到 token 了，就不需要伪造，直接爆破

最近 web 基础差的人不少啊

@chinafeng 意思是 csrf 这个 token 和用来登录的 token 还不是一个东西? csrf 这个 token 是每发送一个新的请求,就在前端生成一个 token,后端验证?

@liuxey 我的意思是获取到用于登录的 token 这个 token 不是固定的吗?

@yaphets666 #11 你指的登录的 Token 是什么东西？ CSRF Token 的话，你目前正在看的这个帖子就有，View Page Source 看看吧，多刷新几次页面

csrf 主要防钓鱼网站的

@chinafeng 登录 token 就是用于保持登录状态的 token,是这样的,我从 github 上找到一个开源项目叫 renrenfast,前端代码是每次请求都携带登录成功时后端返回的 token 用于保持登录状态. 而 CSRF Token 是每次请求都新生成一个,次次不同,我理解的对吗?

你获取我的 Token 康康

@ooh 场景是这样的...我自己"偷"我自己的 token 我从浏览器直接复制过来

给你大概讲一下 csrf 的例子：
比如有个网站，点赞是 get 方式请求： http://www.xxxx.com/like?id=12365
如果没有验证 token 的话，我只要随便在某个网页发个图，图片地址设置这个 url，对方只要访问这个页面，加载这个图，对方就会自动给 id 为 12365 的帖子点赞了。
如果验证 token，点赞的 get 的可能就是这种： http://www.xxxx.com/like?id=12365&token=A23F267AE65，由于每个人的 token 是变化的，你无法预先知道对方的 token，对方加载了 http://www.xxxx.com/like?id=12365，也不会成功

@yaphets666 #15 这两个 Token 不是一个东西，前者应该是程序自定义的一个令牌，CSRF 是一套规范

这里的 Token 是 Anti csrf Token，核心点就是随机值(时效性在这里相对随机特性弱很多)，你是怎么猜，怎么算都算不出来的一个值，除非你借助了其他安全问题来获取这个值，而且这个值还没失效。