2
因此,“典型”的CSRF保护方法是在会话中和隐藏的表单元素中存储一个随机数。攻击网站是否有可能首先使用受害者的会话刮取目标表单,获取隐藏的表单标记,然后将令牌发送到它们自己的表单元素中?测试这个我自己,它验证。我只是很好奇,如果一个机器人可能会抓取页面并获得随机数。比较会话值和隐藏表单是否足以防止CSRF?
如果这是可能的,那么如何防范这种类型的攻击呢?
A
回答
1
如果攻击者可以抓取受害者的页面,他不需要使用CSRF,因为他基本上可以对用户的数据做任何事情。这实际上被称为session hijacking并且有other ways of defending the user from it。
相关问题
- 1. HTTPS是否可以防止CSRF攻击?
- 2. TABLOCK,HOLDLOCK是否足以防止INSERT?
- 3. 表单身份验证是否防止会话劫持?
- 4. 比较和隐藏下降
- 5. 防止隐藏主对话框
- 6. 比较分母== 0.0d以防止被零除是否正确?
- 7. GWT RPC - 它是否足以抵御CSRF?
- 8. 设置Server.ScriptTimeout的值是否足以防止页面超时?
- 9. htmlspecalchars中的html值属性是否足以防止xss?
- 10. 如何比较DropDown值和GridView列值,并隐藏它们是否不同
- 11. 比较会话值是否与文本框的值相匹配
- 12. 比较会话值PHProblem
- 13. FlaskWTF验证器可以防止隐藏表单字段
- 14. 如何比较单元格值并隐藏html表中的行
- 15. 将会话值设置为jsp隐藏表单值
- 16. 是什么让表单防止被隐藏?
- 17. 会话变量,隐藏字段和表
- 18. 是否阻止查询命令足以防止SQL注入?
- 19. 是否需要CSRF保护以防OAUTH2
- 20. 防止CSRF?
- 21. ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻击?
- 22. 是否可以在Bootstrap Modal上显示和隐藏表单域?
- 23. 隐藏表单值
- 24. 表单不会传递隐藏值
- 25. 防止Vim隐藏字符
- 26. 防止自动隐藏SystemTray
- 27. HTML:防止隐藏选项
- 28. 防止UISearchDisplayController隐藏UiTable
- 29. 比较会话数据和表单数据
- 30. VBScript - 防止用户取消隐藏隐藏的工作表
如果攻击者能够为页面乱码寻找页面,这远远超出了CSRF通常所指的页面。 – 2011-06-10 16:48:42