3
防止CSRF的常見方法是使用隱藏在表單中的令牌。僅僅因爲好奇,這是實際阻止CSRF的唯一途徑嗎?人們爭論CSRF令牌不需要讓我發瘋,我需要理解爲什麼。我怎樣才能防止CSRF攻擊?防止CSRF漏洞,CSRF的替代方法令牌
A
回答
1
實際上使用CSRF令牌只是另一個防禦層。根據OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet,驗證請求源也可用於CSRF保護。爲了驗證起源,我們可以使用,
- Origin標
- 的 Origin header包括髮起請求的方案,主機和端口的信息。
- Referer標頭
- 的Referer header包含以前的網頁從一個鏈接到當前請求的網頁之後的地址。
但也有在使用這種方法,如頭部的可用性和完整性限制。攻擊者可以通過這些方法來更改這些標頭的值。因此建議始終有多層防禦。
相關問題
- 1. CSRF 403禁止 - 無效的CSRF令牌
- 2. CSRF漏洞/ cookies問題
- 3. 笨,CSRF令牌
- 4. 防止CSRF?
- 5. Django的CSRF令牌
- 6. 變化CSRF令牌
- 7. CSRF同步令牌
- 8. CSRF令牌生成
- 9. Keycloak帳戶服務中的CSRF漏洞
- 10. 令牌驗證方法如何工作以防止在asp.net中的CSRF mvc3
- 11. Patch Rails 3修復CSRF保護漏洞
- 12. CodeIgniter的CSRF令牌問題
- 13. Django的CSRF令牌丟失
- 14. 的CSRF令牌無效
- 15. PHP中的Laravel csrf令牌
- 16. Rails的Angular 2 CSRF令牌
- 17. Cookie中的CSRF令牌
- 18. CSRF令牌在源代碼中可見
- 19. 需要CSRF令牌嗎?
- 20. Csrf令牌縮放問題
- 21. 爲window.location.href添加CSRF令牌
- 22. CSRF令牌春季安全
- 23. Angular 2 Spring Security CSRF令牌
- 24. laravel CSRF令牌與枝條
- 25. SYMFONY2 - CSRF令牌無效Allwais
- 26. Spring Security獲得CSRF令牌
- 27. rails csrf令牌生存期
- 28. Symfony2 CSRF令牌無效
- 29. Braintree CSRF令牌丟失
- 30. 反CSRF令牌和Javascript
你應該谷歌的CSRF OWASP並閱讀他們的指導。 CSRF令牌基本上是防止CSRF最有效的方法。 – atk 2013-03-09 19:21:54