2
搜索CSRF预防技术的最广泛发现的解决方案是什么MVCAntiForgeryToken(随MVC 3)实现,其中服务器的客户端必须在POST主体中发布验证令牌。在服务器端,它将根据Cookie中存在的令牌进行验证。CSRF安全风险,如果验证令牌在标题而不是POST正文
在自定义标题中发送验证令牌和在服务器端验证cookie中存在的自定义令牌的值是否同样安全?
A
回答
1
它甚至更安全:)因为即使攻击者可以获得当前事务的有效csrf标记,他也必须建立一个跨域ajax请求以在请求中包含自定义标头。如果用户在他的浏览器中禁用了js,那么攻击者会烤制:)。然而,它可以被java小程序覆盖...但是你知道用户是否没有受过教育,攻击者是否真的有动力,你可以做的很少;)。
但有一个问题,并不是所有的自定义标题将被转发的情况下,用户通过防火墙或企业代理访问我们。所以我认为这是使用字段而不是自定义标题的主要原因。虽然有一个头可以防止XSRF攻击:原产地,The web origin concept也作为附加信息Content Security Policy 1.1它只是一个草案,但一些有趣的想法在那里提出。
相关问题
- 1. csrf令牌,安全问题?
- 2. 表单身份验证安全风险
- 3. CSRF令牌春季安全
- 4. 无法验证CSRF令牌! Angular 2和弹簧安全
- 5. CSRF验证令牌:会话ID安全吗?
- 6. AHAH是安全风险吗?
- 7. WordPress - 安全风险?
- 8. Spring安全OAuth2 - 验证访问令牌
- 9. 身份验证令牌安全
- 10. 无CSRF令牌的身份验证
- 11. WCF自签证明的安全风险
- 12. Laravel SPA应该使用CSRF令牌来保证安全吗?
- 13. WFFM安全风险验证消息来自哪里?
- 14. 使用表单身份验证有哪些安全风险?
- 15. 可以image.src是一个安全风险?
- 16. 回形针宝石触发CSRF令牌验证问题
- 17. 是否使用Facebook访问令牌安全地验证用户?
- 18. CodeIgniter的CSRF令牌问题
- 19. Csrf令牌缩放问题
- 20. Spring安全中每个请求的不同csrf令牌
- 21. 设置引用标题的安全风险?
- 22. 用VBA API POST X-验证令牌
- 23. 查看公共文件,是否存在大的安全风险?
- 24. Django - CSRF令牌丢失或不正确
- 25. 403 - CSRF令牌丢失或不正确
- 26. CSRF令牌丢失或不正确django
- 27. 验证不记名令牌问题?
- 28. 如何使令牌身份验证更安全
- 29. 无法验证CSRF令牌的真实性!使用POST的RAILS API
- 30. CSRF令牌丢失或不正确,即使包含令牌标记
对,我想不出任何理由。 –