http://mdsec.net/shop/48/
注解 应用程序的会话处理机制通常通过客户端传送模糊数据。在HTTP cookie中传送的会话令牌、在隐藏字段中传送的反CSRF令牌,以及用于访问应用程序资源的一次性URL令牌,全都是在客户端篡改的潜在目标。我们将在第7章详细讨论针对这些令牌的注意事项。