3
防止CSRF的常見方法是使用隱藏在表單中的令牌。僅僅因爲好奇,這是實際阻止CSRF的唯一途徑嗎?人們爭論CSRF令牌不需要讓我發瘋,我需要理解爲什麼。我怎樣才能防止CSRF攻擊?防止CSRF漏洞,CSRF的替代方法令牌
防止CSRF的常見方法是使用隱藏在表單中的令牌。僅僅因爲好奇,這是實際阻止CSRF的唯一途徑嗎?人們爭論CSRF令牌不需要讓我發瘋,我需要理解爲什麼。我怎樣才能防止CSRF攻擊?防止CSRF漏洞,CSRF的替代方法令牌
實際上使用CSRF令牌只是另一個防禦層。根據OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet,驗證請求源也可用於CSRF保護。爲了驗證起源,我們可以使用,
但也有在使用這種方法,如頭部的可用性和完整性限制。攻擊者可以通過這些方法來更改這些標頭的值。因此建議始終有多層防禦。
你應該谷歌的CSRF OWASP並閱讀他們的指導。 CSRF令牌基本上是防止CSRF最有效的方法。 – atk 2013-03-09 19:21:54