0
我的跨网站请求伪造TOKEN是否应在我的网页源代码中可见我在生产中运行rails应用程序,并且可以看到跨站点请求伪造令牌。我想它不应该是可见的。CSRF令牌在源代码中可见
A
回答
0
只要令牌在每个用户会话中足够随机且唯一,在页面代码中就可以看到它。 CSRF攻击假定恶意代码是从不同来源运行的,并且无法访问用户的页面。在OWASP Article中查看更多详情。
相关问题
- 1. 笨,CSRF令牌
- 2. 避免源代码中的OAuth令牌?
- 3. Django的CSRF令牌
- 4. 变化CSRF令牌
- 5. CSRF同步令牌
- 6. CSRF令牌生成
- 7. PHP中的Laravel csrf令牌
- 8. Cookie中的CSRF令牌
- 9. CSRF令牌不在STRUTS中工作1.1
- 10. 在Listner中获取CSRF令牌symfony
- 11. 在dropzone中发送CSRF令牌
- 12. 在PHP中没有Cookie的CSRF令牌
- 13. 如何在Express中生成CSRF令牌?
- 14. 在rails 3中关闭CSRF令牌
- 15. CSRF 403禁止 - 无效的CSRF令牌
- 16. 防止CSRF漏洞,CSRF的替代方法令牌
- 17. 需要CSRF令牌吗?
- 18. CodeIgniter的CSRF令牌问题
- 19. Csrf令牌缩放问题
- 20. 为window.location.href添加CSRF令牌
- 21. CSRF令牌春季安全
- 22. Angular 2 Spring Security CSRF令牌
- 23. laravel CSRF令牌与枝条
- 24. SYMFONY2 - CSRF令牌无效Allwais
- 25. Django的CSRF令牌丢失
- 26. Spring Security获得CSRF令牌
- 27. 的CSRF令牌无效
- 28. rails csrf令牌生存期
- 29. Symfony2 CSRF令牌无效
- 30. Braintree CSRF令牌丢失
我同意你的意见。但是如果存在CORS错误判断,攻击者可以窃取。任何方式不存储在那里? – Vis
@Vis如果存在CORS配置错误,则您的问题比CSRF更糟糕。 – bereal