我可以通过使用javascript生成csrf标记clien-side并使用此标记从javascript cookie进行设置并将此标记添加到发布请求中来保护CSRF免受CSRF攻击?CSRF保护与JavaScript?
服务器端:检查饼干[令牌] ===信息[令牌]
我可以通过使用javascript生成csrf标记clien-side并使用此标记从javascript cookie进行设置并将此标记添加到发布请求中来保护CSRF免受CSRF攻击?CSRF保护与JavaScript?
服务器端:检查饼干[令牌] ===信息[令牌]
不,是从做同样的事情停止攻击?服务器需要拥有其中一个凭证。
我不相信这会奏效。攻击者可能会复制您的算法来生成令牌并发送有效值。您想要在服务器上设置该值,并确保该值不会被篡改。
如果使用PHP和JavaScript,然后有可能来保护它的方式,看看在OWASP CSRFGuard Project,但我不上了深刻的一看,才发现这
项目实施CSRFGuard风格的PHP和JavaScript解决方案。
不过说真的,我不知道这是否是一个安全的实现与否......
我知道有些人对OWASP是在得到ESAPI准备的JavaScript(工作那是什么克里斯·施密特ist在这个Video谈论),但我不知道他们目前有多远,看看esapi.org
相同的来源政策阻止他们设置一个不同的域的cookie。 – Gumbo 2011-06-02 17:11:28
将诸如此类的糟糕技术与XSS结合在一起,它并不重要。 – Brad 2011-06-02 17:15:54
然后它只有RF。 :) – Gumbo 2011-06-02 17:20:10