假設我使用用戶代理頭來查看使用哪個瀏覽器(如果有)以幫助我抵禦潛在的CSRF攻擊。雖然我知道有大量的CSRF防禦措施不需要用戶代理標題,但我只想知道用戶代理標題的安全性 - CSRF攻擊者是否可以將其修改爲任何他希望的內容?CSRF攻擊:你能用javascript來修改用戶代理頭嗎?
我知道起源頭和參照標頭是從這樣的修改很好的保護,因爲它們是forbidden headers。然而,用戶代理標題看起來不是。
這是否意味着一個CSRF攻擊者可以平凡改變User-Agent頭?根據this,這是不能做到的。但是我想知道爲什麼它不被列爲'禁止'。有什麼我誤解?它是否與Referer和Origin頭文件一樣受保護?
在此先感謝。
如果您問用戶是否可以欺騙他們的用戶代理,那麼答案是肯定的。 [變得非常容易。](http://www.howtogeek.com/113439/how-to-change-your-browsers-user-agent-without-installing-any-extensions/) –
應該是什麼優點黑客修改用戶代理標題? – gus27
是的,用戶可以欺騙他們的用戶代理。他們也可以欺騙他們的起源標題,以及他們的引用標題。但是,CSRF攻擊者無法欺騙其來源或引用標題,因爲他們無法控制用戶的瀏覽器。那麼用戶代理頭呢? – ineedahero