1、服务器端根据一定算法,生成token;
2、保存到session中;
3、前台form表单中取到session放到隐藏标签内;
4、提交表单后和session中token比较,然后失效掉原先的session;
示例代码:
class Token(){ ... session.setAttribute("TOKEN","token"); ... }
<form> <#-- freemaker取值方式 --> <input type="hidden" id="_token" name="_token" value="${TOKEN}" /> </form>
class Action(){ ... if(session.getAttribute("TOKEN").equals(request.getParameter("_token"))){} ... }
二、防止CSRF原理
用户请求信息的时候,被骇客获取中间请求信息,当然也会获取token信息,但是因为骇客并不能阻止用户请求到目标网站。
用户请求目标网站之后,token已经被校验。所以骇客获取的token信息依然无用。
当时骇客如果在用户请求到目标网站之前先去请求到目标网站,token的作用就没有了。
当然,预防CSRF攻击对refer校验也是不能少的。