Kan*_*tel 2 php security post csrf csrf-protection
我正在我的网站上的每个 post 方法上实现 CSRF 令牌。但是当我在不同的选项卡中访问我的网页时,令牌在两个页面和令牌不匹配上都会发生变化。我的令牌存储在 DOM 中,我正在使用 SESSION 匹配令牌。这个怎么解决。?
我在每次成功请求时更改令牌
是的,这就是为什么我们不会在每次成功请求时都使令牌无效。这不仅会破坏多标签浏览,还意味着您无法执行诸如点击后退按钮然后提交之类的操作。
“在每个请求上使令牌无效”是您从渗透测试报告中获得的那种虚假安全建议,其中测试人员没有发现太多真正易受攻击的内容。无论您是否这样做,这都是一种权衡,但可用性方面的缺点几乎总是超过最小的安全收益。
你只有真正需要在特许级变化无效CSRF令牌(与会话令牌一起),最明显的是上登录。这通过防止在登录之前知道会话和 CSRF 令牌的攻击者在您登录后利用这些令牌来减轻会话固定攻击。
| 归档时间: |
|
| 查看次数: |
2535 次 |
| 最近记录: |