3
我有一个关于csrf缓解的问题。文献建议在每个页面上使用一个标记,这些标记必须与任何表单一起提交 - 此标记必须对交易发生有效。跨站点请求伪造(CSRF)缓解
页面上的令牌如何通过csrf保护? 我不能只是做一个HTTP GET请求,解析HTML中的标记,然后在POST中使用该标记(在某个时间限制内),因为http是无状态的?
A
回答
4
是的,你可以。但那不是CSRF。 CSRF是我偷偷地让你执行一个你不打算执行的操作。例如,如果您登录什么到特定的网站,我骗你去点击像这样一个链接:
您点击链接和你的不舍,你最终删除一个你不想删除的资源。或者如果我让你查看像这样的图像(看看src):
<img src="http://test.com/action.php?delete_id=324" />
但是,如果action.php需要一个令牌呢?然后我(攻击者)必须尝试找出你目前使用的令牌。
http://test.com/action.php?delete_id=324&token=89723gdeHDdhipd823igb9bd87309287bhdebvtaGY
否则,该动作将不会发生,并且请求将被拒绝(或至少它应该是)。
+0
谢谢 - 看来我正在将XSS与CSRF结合在一起。 – user1220022
1
CSRF保护并不旨在阻止DOM解析或机器人获取令牌并提交表单。 CSRF是指恶意网站向目标网站提交表单或请求,目的是更改某些设置或对登录用户的帐户执行操作。
当提交表单时,目标网站的用户Cookie与请求一起发送,因此如果没有反CSRF令牌,恶意网站可能会影响用户的帐户或在目标网站上执行某些操作。恶意网站无法获取用户的特定反CSRF令牌,因此尝试将失败。
相关问题
- 1. REST和CSRF(跨站点请求伪造)
- 2. CSRF(跨站请求伪造)在PHP
- 3. TYPO3中的跨站点请求伪造(CSRF)保护
- 4. ColdFusion - 预防 - 跨站点请求伪造(CSRF)
- 5. 跨网站请求伪造
- 6. 防止跨站点请求伪造
- 7. 防止跨站请求伪造(CSRF)攻击
- 8. Django管理形式可以跨站请求伪造(CSRF)
- 9. 这是防止跨站点请求伪造(CSRF)攻击的安全方法吗?
- 10. asp.net和跨站请求伪造
- 11. 使得跨站请求伪造Rails中
- 12. java - 我如何防止跨站点伪造请求
- 13. 如何通过Ajax post防止跨站点请求伪造?
- 14. 防止Liferay中的跨站点请求伪造
- 15. 防止跨站点请求伪造攻击
- 16. 跨站点请求伪造和登录之间的关系
- 17. 为启用silverlight的WCF服务防止CSRF(或跨网站请求伪造/ XSRF)
- 18. 跨站点请求
- 19. 使用会话令牌或随机数用于跨站点请求伪造保护(CSRF)?
- 20. 在codeigniter框架中是否存在用于CSRF(跨站点请求伪造)的令牌生成器?
- 21. 无法登录到管理控制台:潜在的跨站点请求伪造(CSRF)攻击受挫
- 22. 如何使用具有跨站点请求伪造(CSRF)的web服务在php中启用
- 23. 任何防止跨站点请求伪造(CSRF)在ASP .NET 4.0(而不是MVC)内的框架内方式?
- 24. Zend_Form的跨站请求伪造验证查询
- 25. Django中的跨站请求伪造问题
- 26. 重命名CodeIgniter的跨站请求伪造的Cookie
- 27. 使用cookie而不是会话来防止跨站点请求伪造
- 28. 如何防止使用Perl和Apache进行跨站点请求伪造?
- 29. 跨站点AJAX请求
- 30. GWT RequestBuilder - 跨站点请求
http://en.wikipedia.org/wiki/Cross-site_request_forgery可能会让您更好地了解攻击是什么,以及为什么页面特定的令牌可以缓解攻击。 – bdares