1
我有一个web应用程序,不具有任何形式(禁用Web服务器的所有形式的请求)CSRF保护。 它只有很少公开网址(与一些URL GET PARAMS)。没有登录,它不使用任何cookie。我们需要公众的URL
我需要这个Web应用程序CSRF保护?只需要使用Cookie域
A
回答
1
XSRF或CSRF保护。即使请求来自不受您控制的网页,您的网站的每个请求都会携带您的Cookie。这是最重要的,当你在服务器上修改状态,但也有情况下,它甚至可以在状态没有发生改变的情况下是有用的。
http://j.mp/learn-xsrf包含一个关于XSRF的简短教程,以及如何避免它,并允许您实际尝试它。
在非状态更改请求中可能存在XSRF漏洞的示例是,如果您有用户看到的图像以确定它们位于真实网站上。有些银行会这样做,每个用户的图像都不一样。但是,如果该图像由依赖于cookie的静态url提供,则易受XSRF影响,并且可以轻松托管在攻击者的网站上。您可以通过在URL中包含XSRF令牌来避免此问题。 (只为每个用户使用不同的URL是不够的。)
+1
是有一些原因,你还没有接受这个答案? – Vroo
相关问题
- 1. 为什么我们需要公钥签名时需要HMAC?
- 2. 主要DNS矿山次要公众?
- 3. 我们需要在jQuery的
- 4. 为什么我们需要jsr286中的公共呈现参数
- 5. RIA服务需要伪公众,非属性方法编译
- 6. 为什么我们需要为公共领域添加属性?
- 7. DavLockDB:我们需要什么?
- 8. 我们是否需要ezpublish_legacy?
- 9. 我们需要指针吗?
- 10. 我们需要ignite.sh脚本?
- 11. 为什么我们需要OpenID中的发现URL
- 12. 得到公众
- 13. 我需要一个公式的帮助
- 14. 如果我们需要支持多个平台,我们是否需要restclient
- 15. 当我们不需要我们的表的主键?
- 16. 我们真的需要EDT吗?
- 17. 我们真的需要Automapper吗?
- 18. c#vb:我们真的需要System.Lazy吗?
- 19. 我们的关键字何时需要?
- 20. 为什么我们需要.htaccess的worpdress?
- 21. 我们还需要Richter的AsyncEnumerator吗?
- 22. css BEM - 我们真的需要E吗?
- 23. 我们真的需要“oauth_nonce”吗?
- 24. 如何从引导我们需要为我们的项目
- 25. 我们总是需要关闭我们提供的ModelViewViewController吗?
- 26. 我是否绝对需要为我面向公众的网站提供robots.txt文件?
- 27. Browserify需要公开
- 28. 需要excel公式
- 29. 我需要公式列名“FEBRUARY”
- 30. 我需要一个Excel公式
如果它不修改服务器状态或暴露需要某种特权(可能不是这种情况,因为它们是公共的)的数据,则不提供保护是必要的。 – nhahtdh