0
我的跨網站請求僞造TOKEN是否應在我的網頁源代碼中可見我在生產中運行rails應用程序,並且可以看到跨站點請求僞造令牌。我想它不應該是可見的。CSRF令牌在源代碼中可見
A
回答
0
只要令牌在每個用戶會話中足夠隨機且唯一,在頁面代碼中就可以看到它。 CSRF攻擊假定惡意代碼是從不同來源運行的,並且無法訪問用戶的頁面。在OWASP Article中查看更多詳情。
相關問題
- 1. 笨,CSRF令牌
- 2. 避免源代碼中的OAuth令牌?
- 3. Django的CSRF令牌
- 4. 變化CSRF令牌
- 5. CSRF同步令牌
- 6. CSRF令牌生成
- 7. PHP中的Laravel csrf令牌
- 8. Cookie中的CSRF令牌
- 9. CSRF令牌不在STRUTS中工作1.1
- 10. 在Listner中獲取CSRF令牌symfony
- 11. 在dropzone中發送CSRF令牌
- 12. 在PHP中沒有Cookie的CSRF令牌
- 13. 如何在Express中生成CSRF令牌?
- 14. 在rails 3中關閉CSRF令牌
- 15. CSRF 403禁止 - 無效的CSRF令牌
- 16. 防止CSRF漏洞,CSRF的替代方法令牌
- 17. 需要CSRF令牌嗎?
- 18. CodeIgniter的CSRF令牌問題
- 19. Csrf令牌縮放問題
- 20. 爲window.location.href添加CSRF令牌
- 21. CSRF令牌春季安全
- 22. Angular 2 Spring Security CSRF令牌
- 23. laravel CSRF令牌與枝條
- 24. SYMFONY2 - CSRF令牌無效Allwais
- 25. Django的CSRF令牌丟失
- 26. Spring Security獲得CSRF令牌
- 27. 的CSRF令牌無效
- 28. rails csrf令牌生存期
- 29. Symfony2 CSRF令牌無效
- 30. Braintree CSRF令牌丟失
我同意你的意見。但是如果存在CORS錯誤判斷,攻擊者可以竊取。任何方式不存儲在那裏? – Vis
@Vis如果存在CORS配置錯誤,則您的問題比CSRF更糟糕。 – bereal