HTTPプロトコルはステートレスであります
- ユーザーのログイン状態を維持するためにウェブ技術にクッキー+セッションを使用します
- 携帯端末ユーザにトークンを使用してログインステータストークンは伝送網のままであるため、仲介者は容易に取得、およびユーザ関連のかくしてアナログ動作であります
ソリューション:
- サーバー側
CSRF_TOKENの=のxxxxxxxxxxx(要求ごとに異なる)とランダムな文字列の頭に応じて
- クライアント
- 秘密鍵= YYYYYYYYYを保つために、クライアントとサーバー
- クライアントは、次の要求を運ばなければならないレスポンスヘッダCSRF_TOKENを取得します
- クライアント(秘密+の提出)が署名されます
ユーザーがサーバーに情報を送信すると、最初の署名データは、トークン+ランダムな文字列マッチングに続いて、改竄されたことを確認、正しく動作を行い、ランダムな文字列を更新し、それはトークンが仲介で取得した場合でも、一切のランダムな文字列は、まだ何もしていないことができませんでした操作は、その後、レスポンスヘッダを傍受することによって、最悪のポイント仲介ランダムな文字列を取得、しかし、鍵が損なわれない、操作を実行することはできません、まだ署名する方法はありません
短所:
上記の解決策はない場所にキーを保存しないようにするので、ブラウザは、適用されない、APPの最後に適用されます
要約:
私たちは、HTTPS上でHTTPSを使用することができます!