那些遇到过的问题

csrf_token 显示为 URL 参数

Say*_*awy 3 security http-token-authentication

网站可以将 csrf_token 显示为 URL 参数吗?我有一种感觉,我应该看不到它,但我不太确定。如果有人能澄清这一点,我将不胜感激!

sha*_*yz1 5

不,这是不可接受的。

在 URL 中传递令牌通常不是可接受的解决方案。实际上,在某些情况下它被认为是一个漏洞

如果网站未在HTTPS下运行怎么办?

如果它在HTTPS下运行但服务器上未启用HSTS怎么办?那么SSL-Stripping技术和其他MITM攻击将成为可能。

即使它在HTTPS下运行并且启用了HSTS,也无法解决问题。

令牌可能会暴露在:

  • 参考标头
  • 网络日志
  • 共享系统
  • 浏览器历史记录
  • 浏览器缓存

欲了解更多信息,请参阅:

通过url中的查询字符串暴露信息

OWASP CSRF 备忘单

归档时间:

查看次数:

2706 次

最近记录:

7 年,11 月 前
相关归档
将phpinfo()暴露给最终用户会带来哪些安全问题? 52
用户名,密码,盐渍,加密,哈希 - 它们如何运作? 11
撇号在C#中通过过滤器 10
服务器上的PHP源代码安全性 5
Django的escapejs过滤器和XSS 5
为什么HTMLunit不能在这个https网页上运行? 4
mcrypt已被弃用? - 如何在PHP中正确加密和保存密码? 4
如何从href获取QueryString? 3
PHP referrer:如何确保请求实际来自它应该来自哪里 3
寻找安全,便携的密码存储方法 2
难疑归档
Reference — What does this symbol mean in PHP? 4314
URI,URL和URN有什么区别? 4217
Java中的"实现Runnable"与"扩展线程" 2023
在JavaScript中生成特定范围内的随机整数? 1836
Node.js module.exports的目的是什么,你如何使用它? 1397
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
如何通过curl调用使用HTTP请求发送标头? 1328
如何在python字符串中打印文字大括号字符并在其上使用.format? 1320
application/x-www-form-urlencoded或multipart/form-data? 1268
angular-route和angular-ui-router之间有什么区别? 1064