3
我的網站是充滿SPA,和所有的認證用戶的請求都使用訪問令牌,那麼未經授權的用戶訪問的登錄表單的唯一形式完成。那麼csrf保護是必要的嗎?如果我從我的網站禁用csrf保護,可能會面臨哪些安全問題?謝謝。SPA,網站使用的oauth2 API - 我需要CSRF保護
A
回答
2
如果我理解您的設置,則如下:
- 用戶發佈證書(例如:登錄表單)
- Server返回身份驗證令牌響應
- 用戶包括:在請求頭與令牌每個後續請求
如果這是準確的,並且假設您正在使用TLS並正確驗證令牌,那麼我認爲您已經很好地受到了防止跨站點請求僞造的保護。
典型的CSRF保護是發送一個令牌,只有合法的網站才能看到(例如,通過設置一個cookie),然後期望在後續請求標題,查詢參數(不是一個好主意),或請求正文。基於令牌的身份驗證(如您的)已經滿足這些要求。
總之,如果一個邪惡的網站能夠繞過您的設置僞造請求(CSRF),然後邪惡的部位很可能使用相同的漏洞打敗一個典型的CSRF保護。
相關問題
- 1. 是否需要CSRF保護以防OAUTH2
- 2. API CSRF保護
- 3. 我需要保護我的API嗎?
- 4. Rest API中的CSRF保護
- 5. 使用oauth2保護靜態網站的最簡單方法
- 6. 何時需要使用令牌(CSRF攻擊)來保護表單?
- 7. 使用另一個網站來保護我的網站
- 8. 保護我的網站
- 9. 我需要上傳使用Facebook API的我的網站嗎?
- 10. Reddit API Oauth2「用戶需要」
- 11. 使用Symfony CSRF保護
- 12. Phoenix和CSRF的CSRF保護
- 13. Codeigniter AJAX CSRF保護
- 14. 保護網站
- 15. 密碼保護Apache網站,它的所有內容都需要保護
- 16. 保護前端網站的API
- 17. 保護我的網站上的視頻?
- 18. CSRF令牌使用SPA
- 19. 實施谷歌自定義搜索網站時的CSRF保護
- 20. 使用Python保護網站的安全
- 21. 我是否需要Oauth2用於我的Web應用程序API
- 22. Spark Framework CSRF保護
- 23. 需要在我的網站
- 24. CSRF保護與JavaScript?
- 25. requirejs - 在非SPA網站中的使用
- 26. php csrf保護庫
- 27. 保護ASP.Net網站?
- 28. OAuth2和SSL足以保護API
- 29. 保護我的網站管理區域
- 30. PHPIDS足以保護我的網站嗎?
如何訪問令牌發送到客戶端?客戶如何將其發回? – BeetleJuice
作爲對發佈請求的響應,然後作爲不記名標記附加到標題。 PS我確實設置了SSL來保護流量。 – bruddah