如何使用同步器令牌模式来防止CSRF安全？

我读过关于CSRF和不可预测的同步令牌模式是如何用来防止它的。我不太明白它是如何工作的。 让我们以这个场景为例： 用户使用以下表单登录到站点： 服务器还将令牌存储在会话中。发送请求时，它将表单数据中的令牌与会话中的令牌进行比较。 当黑客可以编写JavaScript代码时，如何防止CSRF： 发送GET请求到站点 接收包含请求表单的html文本。 在html文本中搜索CSRF令牌。 使用该令牌发出恶

大家好，我很难为我的应用程序设置安全解决方案！！所以我有一个REST API后端，在http://localhost:51030使用Spring框架开发，对于前端，我有一个Angular 2应用程序（最新版本A.K.A.Angular 4），运行速度为http://localhost:4200.我在后端设置了CORS配置，如下所示： 使用此配置只能正常工作，我可以执行从角应用到回弹的请求并获得响应

我使用的是Spring Boot 2.1.1。我认为这个版本的Spring Boot默认启用了CSRF保护（如果我错了请纠正我）。我试图为我的java web应用程序设置CSRF保护，但我不确定需要做什么更改才能显示CSRF令牌。 我正试图通过浏览器检查CSRF令牌。但是，标记的名称和值似乎显示为空白。

场景是：您有一个有效期较长的刷新令牌和一个有效期限较短的访问令牌。 设置：有一个客户端、应用程序服务器和身份验证服务器。 客户端存储访问令牌。 应用程序服务器存储刷新令牌。 身份验证服务器分发刷新访问令牌。 其中一个优点是被盗的访问令牌只能在其有效的时间内使用。 假设黑客窃取了有效期为30分钟的访问令牌。当黑客在30分钟后用有效但过期的被盗访问令牌发出请求时，应用服务器用刷新令牌刷新它，从而黑客获

使用刷新令牌可以缓解CSRF攻击。第一条规定： 刷新令牌由auth服务器作为HttpOnly cookie发送到客户端，并由浏览器在/refresh_token API调用中自动发送。因为客户端Javascript不能读取或窃取HttpOnly cookie，所以这比将其作为普通cookie或在LocalStorage中持久化要好一些。这种方法也可以免受CSRF攻击，因为即使表单提交攻击可以调用/

问题内容： 在GET和POST参数中不仅需要cookie，还需要身份验证。 检查HTTP Referer头； 在Wikipedia上看到了这篇文章，想知道如何应用它们 好的…我正在使用Kohana PHP框架，并且具有确定引荐来源标头的功能，但是究竟要检查引荐来源标头中的什么内容呢？框架函数仅返回引荐来源网址 以及如何验证GET和POST参数？反对什么？存储的信息？预期的类型？ 问题答案： 为了防