0
中的页面说明如下: 状态(推荐)应用程序使用状态参数来存储特定于请求的数据和/或防止CSRF攻击。授权服务器必须将未修改的状态值返回给应用程序。状态参数如何防止CSRF攻击
但我不清楚状态如何防止CSRF攻击。对于我的想法,如果有人抓住这个包,那么请确定请求查询参数也是已知的,所以他可以再次发送它以淡化这个响应。
A
回答
0
常用的方法是将state存储在用户的会话中(如果存在)或将其设置在安全的httponly cookie中(如果该应用程序是无状态的)。然后在回调函数中比较这些(查询中的state与session/cookie中的state)。
如果说“软件包”只意味着HTTP流量(一种中间人攻击),那么如果您使用的是HTTPS协议 - 什么都不能被劫持。这就是强烈建议仅通过HTTPS使用OAuth的原因。
相关问题
- 1. 你如何防止特定CSRF攻击
- 2. 防止jQuery的CSRF和XSRF攻击$ .post
- 3. php防止csrf攻击多次提交
- 4. 防止csrf攻击在modx formit
- 5. 防止ASP.NET MVC中的CSRF攻击
- 6. 在grails中防止CSRF攻击?
- 7. 如何防止XXE攻击
- 8. 如何防止涉及嵌入式iframe的CSRF/XSRF攻击?
- 9. 如何防止ajax应用程序中的CSRF攻击
- 10. 如何防止春季mvc CSRF攻击4
- 11. ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻击?
- 12. PHP:如何完全防止XSS攻击?
- 13. 如何防止重播攻击?
- 14. 如何防止暴力攻击?
- 15. 盐如何防止字典攻击?
- 16. 如何防止二阶SQL攻击?
- 17. django admin如何防止蛮力攻击?
- 18. 阻止对WCF服务的CSRF攻击
- 19. 防止输入型攻击
- 20. Json.Net Wrapper防止Xss攻击
- 21. 防止重复blockchain攻击
- 22. 防止MDX注入攻击
- 23. angularjs防止XSS攻击
- 24. 如何在GAE应用程序中最好地防止CSRF攻击?
- 25. 阻止IP地址,防止DoS攻击
- 26. JSF 2.0如何防止CSRF
- 27. Spring Security和CSRF攻击
- 28. CSRF攻击和饼干
- 29. Android防止人为攻击SSL中间人攻击
- 30. 您如何防止对RESTful数据服务的暴力攻击