Q
csrf保护
5
A
回答
0
由于CSRF令牌的值未预先知道。
1
如果您能够将脚本代码注入目标页面(XSS),那么是的,您可以这样做,从而使CSRF预防无用。
CSRF令牌必须存储在最终用户收到的页面(或者他也不会知道它)。事实上,在安全评估中,XSS通常不会评估自身的潜在伤害,而是仅仅评估其在这种攻击中的使用。
0
CSRF令牌应该是每个用户的每个时间和每个请求一个完全不同的令牌,所以它永远不会被攻击者猜到。
对于php,.net和javascript有一个在OWASP CSRFGuard Project看看 - 如果你正在使用java和jsf 2.x它已经保存对CSRF(只要你使用POST而不是GET - 为此你将有等待JSF 2.2)否则,如果你在没有JSF的情况下工作,OWASP ESAPI的HTTPUtillities Interface也可能非常有帮助!
1
CSRF攻击是盲目的。他们进行会话骑行,攻击者无法直接控制,除非他可以通过XSS漏洞提取令牌。通常可以使用会话宽度令牌。每个请求旋转令牌可能是一种矫枉过正的行为,并可能导致错误警报。我更喜欢使用主会话令牌为每个资源使用令牌。
相关问题
- 1. API CSRF保护
- 2. Phoenix和CSRF的CSRF保护
- 3. Spark Framework CSRF保护
- 4. CSRF保护问题
- 5. php csrf保护库
- 6. CSRF保护与JavaScript?
- 7. Codeigniter AJAX CSRF保护
- 8. Tomcat中的CSRF保护
- 9. reactjs/redux + django CSRF保护
- 10. 使用Symfony CSRF保护
- 11. Zend表格+ csrf保护
- 12. Django中的CSRF保护
- 13. 不需要CSRF保护?
- 14. CSRF保护GET链接
- 15. 春季安全CSRF保护
- 16. 轨,OAuth的,和CSRF保护
- 17. Rest API中的CSRF保护
- 18. CSRF保护如何工作?
- 19. IdentityServer4中的CSRF保护
- 20. CSRF保护和可用性
- 21. 笨CSRF保护错误:
- 22. Patch Rails 3修复CSRF保护漏洞
- 23. CSRF/SQL注入保护。还有什么?
- 24. 这对于CSRF保护足够了吗?
- 25. 是否需要CSRF保护以防OAUTH2
- 26. 禁用Cookie时处理CSRF保护
- 27. 在WTForms-Alchemy中使用CSRF保护
- 28. Django的书过时CSRF保护
- 29. 如何在direct_to_template上豁免CSRF保护
- 30. CSRF保护Codeigniter生成随机令牌