3
防止CSRF的常见方法是使用隐藏在表单中的令牌。仅仅因为好奇,这是实际阻止CSRF的唯一途径吗?人们争论CSRF令牌不需要让我发疯,我需要理解为什么。我怎样才能防止CSRF攻击?防止CSRF漏洞,CSRF的替代方法令牌
A
回答
1
实际上使用CSRF令牌只是另一个防御层。根据OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet,验证请求源也可用于CSRF保护。为了验证起源,我们可以使用,
- Origin标
- 的 Origin header包括发起请求的方案,主机和端口的信息。
- Referer标头
- 的Referer header包含以前的网页从一个链接到当前请求的网页之后的地址。
但也有在使用这种方法,如头部的可用性和完整性限制。攻击者可以通过这些方法来更改这些标头的值。因此建议始终有多层防御。
相关问题
- 1. CSRF 403禁止 - 无效的CSRF令牌
- 2. CSRF漏洞/ cookies问题
- 3. httplib - CSRF令牌
- 4. 笨,CSRF令牌
- 5. csrf令牌dajaxice
- 6. 防止CSRF?
- 7. CSRF保护:为每个请求发送CSRF令牌的方法
- 8. Django的CSRF令牌
- 9. csrf令牌使用
- 10. CSRF令牌生成
- 11. Laravel behat CSRF令牌
- 12. 避免CSRF令牌
- 13. 了解CSRF令牌
- 14. csrf令牌跟进
- 15. Flask-Security CSRF令牌
- 16. CSRF同步令牌
- 17. CSRF令牌验证
- 18. 变化CSRF令牌
- 19. Keycloak帐户服务中的CSRF漏洞
- 20. 令牌验证方法如何工作以防止在asp.net中的CSRF mvc3
- 21. Patch Rails 3修复CSRF保护漏洞
- 22. 的CSRF令牌无效
- 23. Cookie中的CSRF令牌
- 24. PHP中的Laravel csrf令牌
- 25. CodeIgniter的CSRF令牌问题
- 26. Django的CSRF令牌丢失
- 27. Angular2的Http Laravel CSRF令牌
- 28. Rails的Angular 2 CSRF令牌
- 29. Laravel 4:防止多表单提交 - CSRF令牌
- 30. 的Java Play2-防止CSRF
你应该谷歌的CSRF OWASP并阅读他们的指导。 CSRF令牌基本上是防止CSRF最有效的方法。 – atk 2013-03-09 19:21:54