0
我在我的网站上使用AJAX和令牌来防止CSRF。 是否有任何意义使用不同的HTTP方法,而不是POST来增加对CSRF的保护?或任何其他攻击?使用不同的HTTP方法防止CSRF?
假设: 我们使用不同的安全令牌和常量的HTTP方法。为什么不把它变成可变的? 如果一个坏人通过POST方法发送数据,但服务器等待来自这个特定用户的PUT方法。
A
回答
1
从安全的角度来看,数据如何传输到服务器是完全没有区别的。所以,答案是否。
相关问题
- 1. 防止CSRF漏洞,CSRF的替代方法令牌
- 2. 防止CSRF?
- 3. 使用GWT的RequestFactory时防止CSRF
- 4. 不同的方法来防止职能
- 5. 防止CSRF请求 - SameSite不起作用
- 6. 防止spring-data-rest中的HTTP方法
- 7. 在使用CORS时防止CSRF?
- 8. 的Java Play2-防止CSRF
- 9. 使用同一网站Cookie属性防止CSRF
- 10. 在PHP中防止CSRF攻击的最佳方法
- 11. JSF 2.0如何防止CSRF
- 12. 同步方法,以防止ConcurrentModificationException的
- 13. 当使用ajax防止在asp.net web应用程序中的CSRF
- 14. 如何防止使用SetPixel方法?
- 15. 防止ASP.NET MVC中的CSRF攻击
- 16. 防止jQuery的CSRF和XSRF攻击$ .post
- 17. 防止死锁不使用的await调用异步方法时
- 18. Java防止方法重复用于同一目的 - 不同的参数
- 19. 防止CSRF和防止垃圾邮件制造者
- 20. django使用链接或形式注销,以防止csrf利用
- 21. 有没有一种特殊的方法来防止Zend Framework中的CSRF/XSRF?
- 22. 如何使用同步器令牌模式来防止CSRF安全?
- 23. 不同的HTTP POST在不同的类中使用相同的方法?
- 24. 禁止403 CSRF错误使用request.post.get时()方法从html页面
- 25. 在grails中防止CSRF攻击?
- 26. 如何防止以下CSRF攻击Oauth2?
- 27. Web安全:防止CSRF攻击
- 28. Cron Kohana动作和防止CSRF
- 29. HTTPS是否可以防止CSRF攻击?
- 30. `while(1){}`如何帮助防止CSRF?
为什么不[google](https://www.google.de/search?q=Cross-Site+Request+Forgery+prevention+methods)呢? – JohannesB
其关于安全令牌的所有信息,当我问到HTTP方法时 – o0o0o
'特别适合于AJAX端点的替代防御是使用自定义请求头。这种防御依赖于同源策略(SOP)限制,只有JavaScript可以用于添加自定义标题,并且只能在其起源之内。默认情况下,浏览器不允许JavaScript发出跨源请求。一个特别有吸引力的自定义头和使用的值是:''X-Requested-With:XMLHttpRequest'对我来说就像一个HTTP方法。在谷歌的第一篇文章。尽管如此,只使用它作为支票是不好的做法。 – JohannesB