And*_*Vit 6 security ruby-on-rails csrf authenticity-token
我正在考虑登录表格:
就其本质而言,登录表单会阻止对任意输入的操作 - 如果没有有效的用户名和密码,您只会被退回.有没有理由为什么这些甚至需要添加authenticity_token或类似的跨站点请求伪造保护呢?
我很好奇登录表单是CSRF甚至可能通常不受欢迎的一个例子:
给定一个匿名客户端,应该允许与站点的第一个联系点是POST有效的登录凭据.CSRF通过首先要求客户端执行GET来建立匿名会话cookie来防止这种直接交互,该cookie用作其authenticity_token的基础.然后必须使用登录凭据回发令牌.当这里的实际目标是验证没有会话到达并且试图提供其凭据的用户时,额外的前期步骤似乎毫无意义.
我在这种情况下是否缺少一些安全考虑因素?
如果没有 XSRF 保护,攻击者可以将用户登录到恶意帐户,并使用该帐户来跟踪他们的活动。这在跨站点请求伪造的稳健防御中进行了讨论。
我不明白为什么客户端应该能够将登录凭据作为第一联系点。对于 Web 界面,在大多数实际情况下,客户端必须获取登录页面才能检索表单。
| 归档时间: |
|
| 查看次数: |
607 次 |
| 最近记录: |