页面几乎都是Ajax操作，如何更新CSRF Token

This topic created in 4658 days ago, the information mentioned may be changed or developed.

用的是CodeIgniter，不过这个问题应该跟CI无关 :-P

页面几乎不刷新，更新的内容很多，几乎没有Form元素。。。

如果启用CSRF Token的话，需要在Ajax处理中同时传递Token信息。

页面render时写个Token到页面倒还好说，如果一个Ajax请求提交后，

后续的Ajax请求怎么办？

现在的想法是：

每个Ajax请求返回结果都同时给一个新的Token回来，保存到页面上。

我的问题是感觉这样可能的工作量比较大，还有更好的方法么？

Supplement 1 · Sep 17, 2013

谢谢各位回复，看了下大家的意见，我想补充一下：

CSRF Token 是基于session的，我通过Ajax提交一个POST后，这个Token就更新了，页面拿着的就是老的了，下一个Ajax POST请求应该会失败才对。

我的需求是怎么才能“最方便”的更新页面内的Token

如果每个Ajax的Web服务器处理在输出结果（Json）时同时附加一个新Token的值，页面收到后再更新老的Token，也不是不能接受，只是修改的量可能比较多，需要每个人都这么去改。

不知道有没有更好的想法。

token

ajax

页面

8 replies • 1970-01-01 08:00:00 +08:00

hanhui

Sep 17, 2013

可以去看看微博、QQ、其他开源软件怎么做。
据我了解，Discuz、腾讯微博都是没有每次请求更换token的，而是每个登录session初始化一个token。腾讯微博的算法稍微复杂点，从cookie传过来，然会js解密换算后，通过url传递回去的；discuz通过forum filed提交。其实微博貌似都没用csrf token，简单看了下。

个人感觉通过session就够了。没有绝对的安全。