我需要CSRF保护添加到Web应用程序。

问题是，该应用程序在很大程度上依赖于链接（GET请求即是），使数据库中的更改的事实。

链接是使用一类产生的，所以我可以很容易的CSRF令牌添加一个额外的参数，每一个环节。

不过，据我所知，在GET请求CSRF令牌可能不是一个好足够的保护。

请注意，应用程序只能通过HTTPS，所以得到PARAMS不能暴露/客户端/服务器通信期间被盗（但历史偷问题仍然存在）。

能拿CSRF令牌PARAM在此设置被认为是“足够安全”？

如果没有，什么是解决这个问题的最好方法是什么？ 只有在我脑海中的就是我的每一个环节的封装成的形式（明确醚，或使用JavaScript创建表单的onsubmit）。

为了能够阅读到CSRF攻击的请求的响应，攻击者需要让受害者来执行他的JavaScript代码。 所以，CSRF的“GET”的要求几乎是没有用的。 这是假设你已经按照标准的“GET”请求不应修改任何数据和任何修改需要使用“POST”将只是做

1. 使用基于Cookie的身份验证和SSL应该让你远离一个人谁是试图改变参数
2. 您可能要推出基于时间戳一些签约，以避免重放攻击

也就是说，如果您有任何POST请求，你应该考虑的CSRF保护。