那些遇到过的问题

防止CSRF?

Ped*_*iel 5 csrf

我已经从这里看到了一些问题(stackoverflow)和这篇帖子,但我仍然有一些问题......

  1. 在帖子表单中使用隐藏值,并在帖子到达服务器时检查它.

    • 隐藏的值可以很容易地复制和发送完全像真实的,"难以猜测"(如md5)将无济于事.(对?)

  2. 到达表单时设置cookie并将cookie值作为隐藏值发送.

    • 您可以使用相同的真实隐藏值轻松更改cookie值或发送与真实cookie完全相同的自定义cookie.(对?)

  3. 使用"超时",POST值无法达到太晚.

    • 所以,如果你很慢,当你试图用隐藏值设置一切时,你将会失败.如果你很快就会工作.(对?)

我希望得到关于CSRF的保护......但我究竟是怎么做到的?

Mat*_*hew 7

我发现防止CSRF问题的最简单方法是:

  1. 在服务器端,使用随机(不可授权)令牌为客户端分配cookie

  2. 使用该cookie值在表单上放置一个隐藏字段

  3. 在表单提交时,确保隐藏字段值等于cookie值(在服务器端)

  • 这样做可行,但CSRF并不是要阻止人们一起提交表单,只是为了防止人们像其他人一样发布表单(即具有授权状态的登录名的人).随机令牌的整个目的是用户B(黑客)不知道用户A的令牌,因此不能伪造请求. (2认同)

归档时间:

查看次数:

2846 次

最近记录:

6 年,5 月 前
为什么需要同源策略的简单示例 30
更多相关链接
相关归档
如何在树枝中呈现CSRF输入? 42
Rails 5 API protect_from_forgery 21
在nginx后面运行jasperserver:潜在的CSRF攻击 10
Firebase Auth 的本地(持久身份验证状态)是否安全且不受浏览器的 XSS 和 CSRF 影响? 7
禁用CSRF保护有时是否合理? 6
登录期间的会话处理,以防止GWT中的XSRF(跨站点请求伪造) 6
持久的"CSRF令牌丢失或不正确." Jinja和Django-注册设置 5
将Spring Security升级到3.2.0.RELEASE不再在Spring taglib中提供CSRF令牌 5
Go Web Applications中的CSRF 4
如何在测试 django 时禁用 csrf? 1
难疑归档
什么是Python中的元类? 5409
如何删除子模块? 3366
如何在Web表单字段/输入标记上禁用浏览器自动完成? 2680
如何在Git中更改多个提交的作者和提交者名称以及电子邮件? 2282
如何逐行读取文件到列表中? 2028
如何为C#Auto-Property提供默认值? 1773
轻松获取最新的git子模块 1748
表命名困境:奇异与多个名称 1404
如何在git中按名称命名和检索存储? 1276
如何在正则表达式中使用变量? 1250