Thread XSRF token (14 answers)
Opened by GwenDragon at 2024-05-09 14:33

GwenDragon
 2024-05-09 14:33
#196126 #196126
User since
2005-01-17
14711 articles
Admin1
[Homepage]
user image
Ich verwende seit langen in CGI-Sessions ein Extra-Token, das auch in den Sessiondaten ((hier CGI::Session mit DSN file) gespeichert wird.
Die Session-ID ist im Cookie. Das Token wird nicht im Cookie geführt, sondern als HTML-Input mit Attribut hidden in Formularen.
Alles wird über SSL geführt.

Ich generiere das Token so:
Code (perl): (dl )
1
2
3
4
5
sub generate_Token {
    my $tok = sha1_hex( time * 2, __PACKAGE__, rand, $ENV{HTTP_USER_AGENT} // '',
        time, $ENV{REMOTE_IP} // '', time );
    return $tok;
}


Der Tread nur so als Anregung, auch für Andere, so wie ich es mache klappt es ja.




Frage in die Runde wie ihr es für sinnvoll erachtet.

Wie Token erzeugen?
- Randomwert als MD5
- Randomwert als SHA1, so wie ich oben
- HMAC-Hash, aber da müsste ich ein Secret im Programm speichern
- Oder anders?

Gern auch Beispiele posten.
Last edited: 2024-05-09 14:48:33 +0200 (CEST)

View full thread XSRF token