remember_token在users表中使用用户身份验证应用程序是否安全?
这个令牌的目的是什么?目前,我在表单中使用它来检查用户是否已登录 - 如果令牌不存在,我会显示登录屏幕.每次用户注销时,都会重新生成此令牌.
我知道如何登录用户,但如何从应用程序中注销指定的用户?似乎没有足够的报道.
我已经阅读了很多关于CSRF保护的文章(这是一个很好的文章)和各种关于SO的问题,但是它们似乎都没有足够的信息来回答我的问题.
我正在开发自己的CMS,我想保护我的登录和评论表单.我将允许匿名用户在我的网站上发表评论.
我网站上的所有表单都使用令牌进行保护.我已经知道这种方法,但问题是它需要一个活动会话(即用户登录后).登录和评论表单的问题在于,几乎任何人都可以访问它们,并且不需要您登录 - 在这种情况下,针对CSRF的最佳保护是什么?
在上面的链接中,我读到当用户尝试登录然后继续使用通常的反CSRF方法(比如将令牌分配给用户的会话)时,可以创建"预会话",但是我对如何实现这一点没有任何见解.
引用者标题是一个弱解决方案,所以我想我不应该打扰.就我测试而言,Origin标题仅在Google Chrome中受支持.自定义标题怎么样?XMLHTTPRequest似乎是一种可能性,但是,我花了三个多小时在谷歌上查找一些关于如何在他们的网站上实施这样的安全措施的信息.但即使我可以使用自定义标头,它是否会使它无用,因为HTTP标头可以完全伪造?
所以,问题是:我应该如何保护我的登录和评论表格免受CSRF的影响?
编辑:以下是我在上面提供的链接中的一些其他信息:
我们建议使用严格的Referer验证来防止登录CSRF,因为登录表单通常通过HTTPS提交,其中Referer标头可靠地存在于合法请求中.如果登录请求缺少Referer标头,则该站点应拒绝防止恶意抑制的请求.
和
秘密验证令牌可以防御登录CSRF,但开发人员经常忘记实施防御,因为在登录之前,没有会话来绑定CSRF令牌.要使用秘密验证令牌来防止登录CSRF,该站点必须首先创建"presession",实现基于令牌的CSRF保护,然后在成功验证后转换到真实会话.
在阅读上述引文后,我无法结束这一论点.其中一个提到使用referrer标头,但我不确定它是否真的增加了webapp的安全性.
编辑2:使用CAPTCHA怎么样?
假设我们有以下XML结构:
<a><b>2<d>4</d></b><c>3</c></a>
为什么sum(//*)返回274?
return Response::json(array('status' => 'Group not found'));
返回受保护的数据 这是JSON:
{"status":"Group not found"}
以下代码
//$jsonData - the data returned above
var_dump($jsonData);
返回:
object(Illuminate\Http\JsonResponse)#320(10){["jsonOptions":protected] => int(0)["data":protected] => string(28)"{"status":"未找到组"}"["callback":protected] => NULL ["encodingOptions":protected] => int(15)["headers"] => object(Symfony\Component\HttpFoundation\ResponseHeaderBag)#317(5){[ "computedCacheControl":protected] => array(1){["no-cache"] => bool(true)} ["cookies":protected] => array(0){} ["headerNames":protected] = > array(3){["cache-control"] => string(13)"Cache-Control"["content-type"] => string(12)"Content-Type"["date"] => string (4)"Date"} ["headers":protected] => array(3){["cache-control"] => array(1){[0] => string(8)"no-cache"} ["content-type"] => array(1){[0] => string(16)"application/json"} ["date"] => array(1){[0] => string(29) "星期二,2014年6月17日19:03:33 GMT"}} ["cacheControl":protected] => array(0){}} ["content":protected] => string(28)"{"status": "未找到组"}"["版本":protected] => string(3)"1.0"["statusCode":protected] => …
我了解CSRF攻击并从内到外防御它们,我已经阅读了有关它的整个owasp页,但是在保护REST API方面我有点茫然。
我正在为移动应用程序开发RESTful Web API。为了对用户进行身份验证,我使用了oauth服务器软件包(密码流授予)和针对Facebook的手动登录流程(我们的数据库中同时具有本地和Facebook帐户)的定制社交权限。这两个授权都会生成我们特定于应用程序的访问令牌,客户端(移动应用程序)会随每个请求(在Authorization标头中)将其发送到服务器,以确保他/她是已登录用户。
这本身不能减轻CSRF攻击窗口吗?如果没有,我该怎么做才能保护服务器免受这些攻击?
PS我想检查引荐来源标头在这里无济于事,因为引荐来源方与服务器的域不同,对吗?