防止 XSRF 的最简单方法是检查每个 RESTful 请求的引荐来源网址,以确保请求来自同一域。会话 cookie 对于保持状态很重要,但它不能防御 XSRF,因为它也会与伪造的请求一起发送。基于引用者的 XSRF 保护系统在内存要求有限的嵌入式网络硬件上很常见,摩托罗拉在其大多数硬件上都使用这种方法。这不是最安全的 XSRF 保护,基于令牌的保护更好,但仍然可以通过 XSS 绕过这两个系统。基于令牌的 XSRF 保护的最大问题是,需要花费大量时间返回并修复每个请求,并且您可能会错过一些请求。
请务必阅读同源政策并扫描您的网站是否存在 xss。您还应该阅读 OWASP Top 10 for 2010 A3-Broken Authentication and Session Management。
| 归档时间: |
|
| 查看次数: |
1490 次 |
| 最近记录: |