1
这个想法会起作用吗?这似乎很愚蠢,因为我的应用程序只是检查浏览器发送了两份相同的信息(即会话密钥)。您是否可以通过将会话密钥包含在所有POST请求的参数中来阻止XSRF?
而且,记住让这个检查听起来很乏味。像Rails和CakePHP这样的Web框架是否具有能够更轻松地编写XSRF验证的Web应用程序的功能?
A
回答
2
假设会话密钥不被泄露(如果你的PHP配置不当和使用session.use_trans_sid指定可能出现这种情况),你是不是受到会话固定攻击,没错,这就是安全的。这是因为请求伪造者无法读取您的cookie,因此不知道正确的值是什么。
您可以在CSRF Magic,号称可让您通过包含一个文件来保护您的应用程序感兴趣。
+0
谢谢,伏击指挥官!如果我的会话密钥泄漏了,是不是会有更大的问题?我认为XSRF的意义在于攻击者使用它,因为他无法访问这样的东西。 – allyourcode 2009-08-07 08:17:46
+0
我提出了一种常用技术? – allyourcode 2009-08-07 09:01:24
相关问题
- 1. POST请求是否包含跨服务器的PHP会话值?
- 2. POST请求 - 跨来源请求阻止
- 3. 是否可以阻止来自CSS的“外部”请求?
- 4. 您是否需要XSRF/CSRF令牌来注销注销请求?
- 5. 是否所有的Web请求都包含请求者的IP?
- 6. 进行REST API调用时,是否可以将授权密钥包含在url中,如GET请求中?
- 7. 带会话密钥的HTTP GET请求
- 8. 在创建密钥之前,您是否可以不通过订购密钥来订购字典?
- 9. Tomcat:如何阻止Tomcat为所有请求创建会话?
- 10. CSR是否包含在密钥库中?
- 11. 是否可以通过插件在Firefox浏览器中阻止所请求的网页?
- 12. django请求不包含密钥
- 13. 阻止HTTP POST请求
- 14. 是否可以从REST请求获取POST参数?
- 15. 如何在Python中将请求包含到POST请求中
- 16. 您是否可以清除所有会话而不通过每个会话? (模拟页面关闭)
- 17. 是否有可能通过在另一个数组中包含来过滤angular.js?
- 18. 是否可以将私钥包含在.CER证书文件中?
- 19. 是否可以只使用POST请求?
- 20. 您是否可以阻止用户查看您的Alexa技能?
- 21. 是否可以跟踪通过https URL查询字符串和Post参数传递的请求参数?
- 22. ELMAH:在错误报告中包含POST请求参数
- 23. 是否可以在Packetbeat中查看来自请求的HTTP POST数据?
- 24. HTTP请求,会话密钥以及与Rails相关的授权
- 25. 我可以通过使用会话阻止XSS攻击吗?
- 26. NSURLConnection - 是否可以等待/阻止请求?
- 27. 是否可以阻止请求进入页面?
- 28. 是否有可能通过spring-security来保护包含的jsp?
- 29. 是否有可能在nginx中将POST请求重写为GET请求?
- 30. 我是否可以从发出请求的会话中放弃InProc ASP.NET会话?
我刚刚发现了CakePHP中的Security组件。它有一个机制,可以阻止跨站请求伪造:http://book.cakephp.org/view/175/Security-Component – allyourcode 2009-08-14 18:16:42