这是一个好的csrf标记吗?它是否有足够的熵,或者是否存在容易猜测并可以减少熵的部分,比如请求的时间?
python实现示例b
token = hashlib.sha256(str(uuid.uuid4())).hexdigest()
uuid v4有122个随机比特(可能有128个),所以,是的,它应该可以作为CSRF令牌。
(顺便说一句,哈希能完成什么吗?)除了打乱随机位之外,它实际上并没有做什么。)