3
我希望我的問題不是太簡單,但是當談到安全性時,我們都會懷疑。在登錄/註冊表單中填充AntiForgeryToken是否有意義?
由於在這兩種情況(登錄/註冊)之前,我們沒有登錄用戶(會話cookie),爲什麼我們會打擾以登錄/註冊形式使用AntiForgeryToken?
A
回答
5
一般來說,你不知道。你所說的攻擊是一個跨站點請求僞造(CSRF)。這種類型的攻擊依賴於已登錄的用戶(如果您登錄到站點A和站點B並且站點A知道這一點,他們可以將html代碼放入,這會導致請求轉到站點B,看起來像你啓動它並可能導致執行敏感操作)。這些攻擊依靠瀏覽器發送會話cookie /令牌以及所有請求到相關站點(站點A包括請求站點B執行操作X,這導致瀏覽器向站點B發送請求,因此包括所有cookie ,包括會話cookie,以該請求發送到站點B)。
反CSRF令牌的工作原理是因爲當您向客戶端發送請求表單時,會包含客戶端必須發回的無法推測的值及其操作請求。如果它回來了,您知道要執行的操作的請求始於您發送給客戶的表單。如果它沒有回來,請求可能是僞造的,所以你應該忽略它。如果站點A上的代碼導致請求被髮送到站點B,即使使用站點B的會話cookie,站點A上的代碼也不會知道要包含的反CSRF標記值,所以僞造的請求將被拒絕。因此,如果您試圖防範您的站點上的CSRF攻擊,則需要將這些令牌包含在所有可啓動敏感操作的表單中,以防止僞造的請求利用已登錄的用戶。這種防禦對於未登錄的用戶是無關緊要的,因爲另一個站點不能利用瀏覽器將會話cookie /令牌與所有請求一起發送的事實,如果用戶當前沒有登錄。
相關問題
- 1. 預填充註冊表
- 2. 在wordpress中自定義登錄註冊
- 3. B2C - 開放註冊商表單,而不是登錄表單
- 4. Grails簡單註冊/登錄表格
- 5. 登錄和註冊表格
- 6. 註冊和登錄表格
- 7. 當用戶登錄時隱藏註冊和登錄表單ASP.NET
- 8. iphone自動填充註冊表
- 9. PHP登錄/註冊
- 10. Android註冊/登錄
- 11. Android登錄註冊
- 12. 註冊和登錄
- 13. 在Silverlight中執行登錄和註冊表單動畫
- 14. 在laravel的一個頁面中註冊並登錄表單5.3
- 15. 無法在laravel中切換登錄和註冊表單
- 16. 在webview中使用動態值填充gmail登錄表單?
- 17. 在註冊表和登錄表單之間翻轉
- 18. Rails自定義設計登錄/註冊
- 19. 如何登錄表單,觸發登錄/註冊如果沒有登錄,並在用戶登錄(或註冊後)插入數據
- 20. 用Javascript註冊用戶註冊登錄
- 21. Django註冊 - 成功登錄後從登錄/註冊重定向
- 22. Django的註釋表單在用戶登錄時是否知道?
- 23. Wordpress 3.0註冊/登錄菜單按鈕
- 24. 在「註冊」後填充數據庫
- 25. 註冊表單不提交和下拉框不填充
- 26. 在cq5中登錄/註冊功能
- 27. 註冊並在cakephp2.0中登錄
- 28. 在swift 2.0中註冊/登錄錯誤
- 29. 在一個視圖上的登錄和註冊表單MVC3 Razor
- 30. OpenID'使用簡單註冊使用OpenID登錄'是什麼意思?
對CSRF的很好的解釋用簡單的話來說! – Romias 2012-01-02 01:52:25
我也應該指出我說「一般」。有一種攻擊可能需要緩解,CSRF的一種變體有時稱爲「登錄CSRF」。攻擊者不會欺騙您向已登錄的站點提交請求,而可能誘騙您使用其他/不是您的憑據登錄到站點,以便該站點將您視爲另一個用戶。例如,如果他在他的不相關網站上包含Google的登錄代碼,並且您的瀏覽器看到並執行了該代碼,那麼您將以攻擊者控制的用戶身份登錄Google。然後,當你搜索時,以爲你沒有登錄, – jeffsix 2012-01-02 13:19:54
你真的會和谷歌會跟蹤你的搜索歷史(假設的例子)。攻擊者隨後可以使用這些憑證登錄,並查看您搜索的內容。這是一個與CSRF攻擊不同但非常相關的攻擊,並且可以通過在登錄頁面上放置CSRF令牌來緩解這種攻擊,如果這是一個相關的用例,並且這是您關心的緩解措施。 – jeffsix 2012-01-02 13:21:03