¿Qué son los tokens anti-CSRF?

La primera vez que leímos sobre estos temas fue en un documento que todavía tiene bastante vigencia, HTML Code Injection and Cross-site scripting junto con Web Based Session Management. Best practices in managing HTTP-based client sessions.

Entonces sonaban como medidas bastate extremas (y que había que implementar prácticamente a mano). Aunque seguimos viendo sitios que no utilizan este tipo de medidas, las cosas han cambiado un poco y los lenguajes y diversos proyectos proporcionan herramientas para gestionarlo de manera más o menos sencilla. Y sigue siendo necesario explicar estas cosas, claro. Por ejemplo, en What Are Anti Cross-site Request Forgery Tokens And What Are They Good For? lo explicaban con ejemplos para .Net.

Ya hemos hablado unas cuantas veces sobre CSRF aquí.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s