0
报价:不需要CSRF保护?
互联网已经改变了很多,因为CSRF是一个“大事情”,并与CSRF攻击所用的战术 正在变得过时。
我个人没有防止CSRF,主要是因为我没有使用 明显不安全的身份验证方法。
他有什么意义吗?
请给我一些参数如果我是正确的,为什么这个人是(固执?)或者没有清楚地思考,因为我想说明一点,但我实际上并没有达到如何表达它。 ..
A
回答
5
引用的论点没有任何意义,但可能还有一些我们错过的其他背景。
目前还不清楚你的同事提出的认证是什么样的形式,而不是公然不安全,没有CSRF问题。
有一些可能性,例如,在完全由AJAX驱动的应用程序中,您可能会传递身份验证令牌作为输入参数,而不是依赖会话。在这种情况下,您不需要额外的反CSRF措施,因为身份验证令牌已经是攻击者无法获得的秘密。
但CSRF一般还没有消失;浏览器还没有发展出魔法功能来阻止它发生。对于使用浏览器持久性验证模型(cookie,HTTP验证)的webapp的典型模型,您肯定仍然需要以某种方式解决它。
相关问题
- 1. 是否需要CSRF保护以防OAUTH2
- 2. csrf保护
- 3. API CSRF保护
- 4. Phoenix和CSRF的CSRF保护
- 5. Spark Framework CSRF保护
- 6. CSRF保护问题
- 7. php csrf保护库
- 8. CSRF保护与JavaScript?
- 9. Codeigniter AJAX CSRF保护
- 10. 何时需要使用令牌(CSRF攻击)来保护表单?
- 11. SPA,网站使用的oauth2 API - 我需要CSRF保护
- 12. 是否需要CSRF保护免于副作用的GET请求?
- 13. Tomcat中的CSRF保护
- 14. reactjs/redux + django CSRF保护
- 15. 使用Symfony CSRF保护
- 16. Zend表格+ csrf保护
- 17. Django中的CSRF保护
- 18. CSRF保护GET链接
- 19. 春季安全CSRF保护
- 20. 轨,OAuth的,和CSRF保护
- 21. Rest API中的CSRF保护
- 22. CSRF保护如何工作?
- 23. IdentityServer4中的CSRF保护
- 24. CSRF保护和可用性
- 25. 笨CSRF保护错误:
- 26. 不需要django中的CSRF功能1.2.3
- 27. 是否有必要保护针对CSRF的JAX-RS请求?
- 28. 需要CSRF令牌吗?
- 29. Patch Rails 3修复CSRF保护漏洞
- 30. CSRF/SQL注入保护。还有什么?
绝对没有.. – allaire
你能给我一些东西来对付这个吗?我不希望人们认为这个人说的是错误的方向。 – John
Rails在这里有关于CSRF的很好的信息:http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf – allaire