5
我正在制作一个书签,以便用户可以使用来自任何页面的CORS跨域发布到我的服务器。用户必须在发布和使用cookie之前进行身份验证。有什么办法可以防止恶意网站在他们的网页中嵌入javascript代码,以使用用户的凭证进行跨域发布到我的服务器?在使用CORS时防止CSRF?
A
回答
1
理论上,可能有解决方案。
- 在每个用户的小书签中嵌入一个唯一的CSRF标记。
- 将书签中的代码封装在匿名函数中,以便页面无法访问它。
- 在您的书签中嵌入a strong hash function。这必须完全放在书签的代码中,以确保它不会被篡改。
- 在你的XMLHttpRequest,你送:
- 消息
- 的哈希:
- 消息
- 你CSRF令牌
- 一个独特的,长盐
- 用户标识
- 时间戳(只是为了确保邮件已发送,而不是在其他时间发送)
- 盐
- 时间戳
- 用户ID
- 在自己的服务器,验证:
- 时戳在允许误差(这是必要的范围内,因为用户的计算机时钟可能关)
- 散列正确
- 如果一切正确,您可以发布消息。
有一个缺陷这一概念:如果一个网站与任何由书签(如Array())使用的功能篡改,恶意网站可能仍然能够截取,复制和/或修改消息,用户ID或CSRF令牌。
相关问题
- 1. 使用GWT的RequestFactory时防止CSRF
- 2. 防止CSRF?
- 3. JSF 2.0如何防止CSRF
- 4. 防止CSRF请求 - SameSite不起作用
- 5. 防止csrf攻击在modx formit
- 6. 在grails中防止CSRF攻击?
- 7. django使用链接或形式注销,以防止csrf利用
- 8. 防止jQuery的CSRF和XSRF攻击$ .post
- 9. Cron Kohana动作和防止CSRF
- 10. 你如何防止特定CSRF攻击
- 11. php防止csrf攻击多次提交
- 12. 防止ASP.NET MVC中的CSRF攻击
- 13. 防止CSRF漏洞,CSRF的替代方法令牌
- 14. 使用不同的HTTP方法防止CSRF?
- 15. 使用同一网站Cookie属性防止CSRF
- 16. 使用BeanValidation时防止InternalServerErrror
- 17. 防止VIM使用%时:P
- 18. 如何在RESTful应用程序中防止CSRF?
- 19. 预防CSRF?
- 20. 防止在使用searchview时缩放webview
- 21. 如何在使用System.Drawing.Graphics时防止InvalidOperationException?
- 22. 在特定防火墙上禁用CSRF
- 23. 如何防止ajax应用程序中的CSRF攻击
- 24. 如何验证JQuery/AJAX引用来防止CSRF?
- 25. 防止使用ImpersonateNamedPipeClient()
- 26. 使用SMJobBless时防止授权弹出
- 27. 使用jQuery时防止双击validate submitHandler
- 28. 使用instantiateViewController时防止内存泄漏
- 29. 使用@property和@synthesize时防止泄漏
- 30. 防止行名称使用write.csv时
不,也许你可以考虑发布到你的网站控制下的iframe,然后让用户在发布之前确认()。或者你可以在每个用户的小书签中嵌入一个独特的CSRF标记,然后......等等,我正在想一个主意...... – user2428118 2012-10-02 10:54:16