Gho*_*ola 5 cookies session csrf
从我在owasp.org上的讲座中,他们推荐同步器令牌模式,不鼓励使用双提交cookie.
同步器令牌模式涉及使用会话.我有理由不想使用会话(在高流量环境中性能不佳,并且很难在多台机器上共享).因此,当我留下双提交cookie时,我需要理解为什么它们可能不像会话方法那样安全.
owasp.org文章提到XSS是一个潜在的问题(因为HTML格式中包含的会话ID可以通过JS读取),但同步器令牌也会发生这个问题(因为它们也包含在表单中)隐藏的领域).简而言之,XSS使得任何CRSF保护都无用(如果你允许XSS,那么CSRF可能不是你最大的问题).
那么有什么理由我应该远离双提交饼干?
| 归档时间: |
|
| 查看次数: |
3580 次 |
| 最近记录: |