【发布时间】:2013-02-25 05:27:57
【问题描述】:
防止 CSRF 的常见方法是使用隐藏在表单中的令牌。只是出于好奇,这是实际防止 CSRF 的唯一方法吗?人们争论不需要 CSRF 令牌让我发疯,我需要了解原因。我还能如何防止 CSRF 攻击?
【问题讨论】:
-
你应该在谷歌上搜索 CSRF OWASP 并阅读他们的指导。 CSRF 令牌基本上是防止 CSRF 的最有效方法。
【发布时间】:2013-02-25 05:27:57
【问题描述】:
实际上使用 CSRF 令牌只是另一层防御。根据OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet,验证请求来源也可以用于CSRF保护。为了验证我们可以使用的来源,
- 源头
- Origin header 包含发起请求的方案、主机和端口信息。
- 引用标题
- Referer header 包含上一个网页的地址,从该地址指向当前请求网页的链接。
但是,使用这种方法存在一些限制,例如标头的不可用性和完整性。攻击者可以通过多种方式更改这些标头的值。因此,建议始终拥有多层防御。
【讨论】: