0
我可以通过使用javascript生成csrf标记clien-side并使用此标记从javascript cookie进行设置并将此标记添加到发布请求中来保护CSRF免受CSRF攻击?CSRF保护与JavaScript?
服务器端:检查饼干[令牌] ===信息[令牌]
A
回答
1
不,是从做同样的事情停止攻击?服务器需要拥有其中一个凭证。
0
我不相信这会奏效。攻击者可能会复制您的算法来生成令牌并发送有效值。您想要在服务器上设置该值,并确保该值不会被篡改。
0
如果使用PHP和JavaScript,然后有可能来保护它的方式,看看在OWASP CSRFGuard Project,但我不上了深刻的一看,才发现这
项目实施CSRFGuard风格的PHP和JavaScript解决方案。
不过说真的,我不知道这是否是一个安全的实现与否......
我知道有些人对OWASP是在得到ESAPI准备的JavaScript(工作那是什么克里斯·施密特ist在这个Video谈论),但我不知道他们目前有多远,看看esapi.org
相关问题
- 1. API CSRF保护
- 2. Phoenix和CSRF的CSRF保护
- 3. Spark Framework CSRF保护
- 4. php csrf保护库
- 5. Codeigniter AJAX CSRF保护
- 6. Tomcat中的CSRF保护
- 7. reactjs/redux + django CSRF保护
- 8. 使用Symfony CSRF保护
- 9. Zend表格+ csrf保护
- 10. 春季安全CSRF保护
- 11. 轨,OAuth的,和CSRF保护
- 12. Rest API中的CSRF保护
- 13. IdentityServer4中的CSRF保护
- 14. Django的CSRF保护,如果形式的JavaScript文件
- 15. Javascript表单中Codeigniter csrf保护错误提交
- 16. Patch Rails 3修复CSRF保护漏洞
- 17. 这对于CSRF保护足够了吗?
- 18. 是否需要CSRF保护以防OAUTH2
- 19. 禁用Cookie时处理CSRF保护
- 20. 在WTForms-Alchemy中使用CSRF保护
- 21. Django的书过时CSRF保护
- 22. 如何在direct_to_template上豁免CSRF保护
- 23. CSRF保护Codeigniter生成随机令牌
- 24. jquery ui对话框和csrf保护
- 25. JSF1.2是否具有CSRF保护功能?
- 26. Rails CSRF保护如何工作?
- 27. Laravel工匠与csrf保护和认证问题
- 28. 笨CSRF保护与数据表AJAX网址
- 29. Javascript保护
- 30. 分配与保护
相同的来源政策阻止他们设置一个不同的域的cookie。 – Gumbo 2011-06-02 17:11:28
将诸如此类的糟糕技术与XSS结合在一起,它并不重要。 – Brad 2011-06-02 17:15:54
然后它只有RF。 :) – Gumbo 2011-06-02 17:20:10