1
據我所知,跨站點請求僞造攻擊他們「僅」用於更改服務器端的狀態。CSRF保護僅適用於帶有副作用的請求(POST,DELETE,PUT)?
假設:
- 我有一個REST Web應用程序,我相信HTTP GET請求並沒有改變我的應用程序持續狀態(無副作用)
- 我使用特定的會話密鑰來授權請求
我需要驗證GET請求的會話專用密鑰嗎?
A
回答
2
這不是真正的請求方法問題(GET和POST都可以對持久狀態進行更改),因爲每種方法都可以被各種CSRF攻擊媒介利用。當你談論「特定於會話的密鑰」時,我假設你正在討論同步器令牌模式(更多內容請見OWASP Top 10 for .NET developers part 5: Cross-Site Request Forgery (CSRF))。顯然,這是爲了防止瀏覽器在第三方的協調下代表未經授權的請求。
所以這個問題真的是「我的應用程序需要防止CSRF嗎?」聽起來好像應用程序中的持久數據沒有變化,因此表面上的答案是「否」。您通常只會在CSRF攻擊會產生不利影響的地方發現反請求僞造令牌,因此在我看來這是您不需要擔心的事情。
相關問題
- 1. 是否需要CSRF保護免於副作用的GET請求?
- 2. protect_from_forgery不保護PUT/DELETE請求
- 3. WCF REST 4.0 PUT/POST/DELETE不起作用(400錯誤請求)
- 4. 用於Ajax PUT或POST請求的XML
- 5. 使用PUT/POST/DELETE跨域請求的JSONP問題
- 6. Apache JMeter 3.0多部分請求適用於POST但不適用於PUT
- 7. nginx proxy_pass基於請求方法是POST,PUT還是DELETE
- 8. @PUT請求不適用於改造2
- 9. 使用CURL發送`PUT`和`DELETE`請求
- 10. 保護基於prototype.js的基於CSRF的XHR請求
- 11. Grails操作適用於GET請求,返回404 POST請求
- 12. GlassFish 3 - 400 GET/POST/PUT/DELETE上的錯誤請求
- 13. 使用MVC2的AJAX請求中的CSRF保護
- 14. 關於POST,GET,PUT,DELETE的困惑
- 15. 使用帶有AJAX請求的CodeIngiter保護應用程序
- 16. 如何在WHM插件中創建HTTP請求(POST,GET,DELETE,PUT)?
- 17. 從瀏覽器發送http PUT/GET/DELETE/POST請求
- 18. RestKit GET請求僅適用於一次
- 19. Javascript:JSON請求僅適用於第一次
- 20. POST請求適用於Postman,但不適用於Guzzle
- 21. 是否有必要保護針對CSRF的JAX-RS請求?
- 22. XMLHttpRequest()POST調用codeigniter 3 403(禁止)由於csrf保護
- 23. Fine Uploader POST vs PUT請求
- 24. POST和PUT請求AFNetworking
- 25. 在python中處理PUT,POST,DELETE,GET請求的通用方法django
- 26. 在Rails中使用HTTP GET請求進行CSRF保護
- 27. DELETE和PUT HTTP動詞現在適用於所有瀏覽器?
- 28. 在GET請求中檢索相關字段的對象,否則僅使用POST,PUT,DELETE等對象的ID
- 29. 其他Nancy.Testing.Browser GET/PUT/POST/DELETE
- 30. 用於GET,POST,PUT,DELETE的Net :: HTTP的Ruby示例
@Tryo Hunt:不,問題是:我是否需要保護不會改變我的應用程序狀態的請求。 (我的應用程序改變了它的狀態 - 但僅限於POST,DELTE和PUT請求)。 – Ralph
我回答說,漫長的道路上,最後一句話有你想要的 - 「不」。 –
對不起,我必須兩次閱讀答案 – Ralph