我们正在考虑关闭登录页面上的csrf/authenticity token保护。 (可能在登录帖子动作中使用skip_before_filter)。这将允许我们从我们网站上的静态html页面发布信息。这有什么安全影响?看起来,如果我们只关闭登录帖子,就没有太多的恶意行为可以完成。关闭登录页面上的csrf/authenticity_token保护
0
A
回答
2
CSRF令牌并不旨在阻止漫游器! CSRF(跨站点请求伪造)是一种攻击,例如欺骗性的formular/url被触发,例如,由一个无形的iframe。在弱系统上,这会让攻击者更改主页上的配置。
让我描述一个示例攻击: 网店的管理员登录到他的管理员帐户。攻击者现在向他发送一封包含虚假主页链接的邮件。当管理员进入页面时,JavaScript将数据发送到他将发送表单以创建新的管理用户的URL,并且JavaScript将发送所有需要的数据,如新用户名,新密码等。管理员已登录,所以从网店的角度来看,管理员会创建一个普通的新管理员帐户。从管理角度来看,什么都没发生,因为都发生在后台。 CSRF令牌以这种方式防止表单被攻击。
你可以阅读了很多关于CSRF维基百科:http://en.wikipedia.org/wiki/Cross-site_request_forgery
相关问题
- 1. 保护WordPress登录页面
- 2. 保护登录页面
- 3. WordPress的 - 通过登录保护页面
- 4. 如何抓取登录保护页面?
- 5. 受登录保护的页面不需要登录访问
- 6. 如何获取受保护的页面Node-ID登录页面?
- 7. 只为登录用户登录表单和保护页面?
- 8. WordPress的:关闭帖子查看页面上的登录验证
- 9. PHP登录失效 - 用户仍然可以在登录后看到受保护页面上的登录表格
- 10. WordPress的 - 用户登录到特定的受保护的页面
- 11. 记住登录WordPress密码保护页
- 12. 保护从搜索引擎的眼睛Plesk登录页面
- 13. 使用zabbix监控受保护的登录页面
- 14. 登录后显示受保护的页面
- 15. 登录后指向受保护的页面时出错
- 16. IE保护模式+ SSL登录=无cookie的非SSL页面
- 17. 为什么我得到受保护的页面而不是登录页面?
- 18. drupal上登录页面的页面
- 19. 页面保护
- 20. 保护页面
- 21. TYPO3-extension webkitpdf(wkhtml2pdf)不能使用登录受保护页面(fe_users)
- 22. 如何仅为登录用户保护页面?
- 23. 我可以从不受保护的页面提交登录表单并使SiteMinder登录页面透明吗?
- 24. 谷歌的OAuth不关闭登录页面在移动设备
- 25. 谷歌关闭登录页面的UI模板
- 26. Opencart关闭登录
- 27. 关闭堆栈保护
- 28. 所有受密码保护的WordPress页面的单页登录屏幕
- 29. 在index.html上登录页面
- 30. 如果用户没有登录,护照本地保护子页面
@apneadiving那不是一个机器人能够做到这一点了吗?它需要每次加载页面以获得新的令牌,但仍然如此。据我所知,CSRF不会限制登录尝试,它只是防止重放攻击 – Flambino
并且使用csrf标记它是一个2行机械化脚本。 Csrf是关于凭证劫持,这显然不是一个问题在这里 –
@apneadiving你似乎不明白CSRF的实际是什么。 – Gumbo