我看到了类似的问题Facebook验证示例CSRF,他们说"哈希(或状态)是由您为向web服务(Facebook)的每个请求生成的,并存储在您服务器上的会话中。此哈希与从您的网站向Facebook发送的请求一起发送。Facebook将完全相同的哈希作为响应上的参数发回。"
这是否意味着在SESSION中没有状态,身份验证就无法工作?
几个月前,我进行了这种类型的登录。如果没有它,它可能会起作用,但绝对有必要使用这种方法来保护CSRF。
我看到了类似的问题Facebook验证示例CSRF,他们说"哈希(或状态)是由您为向web服务(Facebook)的每个请求生成的,并存储在您服务器上的会话中。此哈希与从您的网站向Facebook发送的请求一起发送。Facebook将完全相同的哈希作为响应上的参数发回。"
这是否意味着在SESSION中没有状态,身份验证就无法工作?
几个月前,我进行了这种类型的登录。如果没有它,它可能会起作用,但绝对有必要使用这种方法来保护CSRF。