0
如果注销请求未通过XSRF/CSRF令牌验证,那么安全漏洞会是什么?您是否需要XSRF/CSRF令牌来注销注销请求?
A
回答
1
请勿将Anti-CSRF令牌视为在单个端点/请求上实施的机制。理想情况下,这种机制作为您正在开发的框架的关键部分被烘焙。
An Anti-CSRF 可能在注销链接上似乎是多余的,这并不是我在这里担心的。我担心的是设计一个允许或者说不强制执行Anti-CSRF机制的系统。
在这种情况下,CSRF可能看起来很温和。然而,当注销链接容易发生XSS时,会发生什么?突然间,Anti-CSRF令牌不再存在以保护您。
总是练习Defence in Depth,因为您的安全性应该分层包装,Anti-CSRF就是其中之一。
1
可以与OWASP A10组合,例如,攻击者还提供了指向某个地方的返回URL,例如,一个假的“再次登录”页面,他可以捕获您的密码。
相关问题
- 1. 使用注销URL和访问令牌的Facebook jQuery注销
- 2. 需要注销代码
- 3. 什么是OpenID Connect Back-channel注销中的注销令牌中的sid声明?
- 4. Kentor.AuthServices注销是否正确?
- 5. SAPUI5注销()与壳牌
- 6. 注销时重定向并显示“您已成功注销!”
- 7. 用户注销时的AJAX请求
- 8. 当请求错误时FaceBook注销
- 9. Django的REST API注销请求
- 10. 用Python阻止注销请求
- 11. 如何发送Web请求注销?
- 12. 我是否需要在注销时调用offAuth方法?
- 13. 是否需要从Platform MBean Server注销MBean?
- 14. 关闭它之前是否需要从epoll注销套接字?
- 15. django的注销(请求)也注销django管理员和反之亦然?
- 16. Spring Saml单一注销(Gloabal)与okta不发送saml注销请求
- 17. 注销
- 18. 倒计时注销申请
- 19. 流失注销旧会话注销
- 20. 检索注销时间而不注销
- 21. Orchard CMS:注销(注销)确认页面
- 22. 同步Apache注销与Django注销
- 23. Activeadmin不注销,当我点击“注销”
- 24. IBM Bluemix AppID - 如何注销/注销?
- 25. 注销JS SDK不会注销PHP SDK
- 26. 从WireCloud注销不会从KeyStone注销
- 27. PHP摘要验证,注销
- 28. JWT令牌撤销是否值得?
- 29. Android广播接收器注册清单时需要注销吗?
- 30. AngularJS登录注销按钮需要刷新来改变
在我们的上下文中,我们没有将任何URL参数作为“返回URL”,所以现在应该没问题。但我完全同意Juxhin在下面写到的,让这个想法已经很危险。系统/代码在某一天是动态的,有些人可能会将其更改为您提到的支持可配置返回URL的情况,那么它会吸引... –