2012年(272)
分类: 系统运维
2012-06-27 13:55:34
去年我问harry某个问题,具体什么问题忘记了,后来harry给我了一个http 307 response 的方案,非常巧妙,因为是harry的东西,我也就一直没写出来。
今天看到有老外把这个发出来了,我也就不用帮harry藏了(也许他本来也没想藏)。
Http response 307
status code
harry给的示意图:
老外的文章在
http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/2011-February/007533.html
起源是ruby on rails 修补csrf方案时,把token做到http header里了,还有个小八卦,就是他们修补的时候,抄了owasp的csrf Guard 的代码,结果没有任何申明,让csrfGuard作者很不满,在博客上骂娘了。。。。。
