【问题标题】:preventing CSRF in a website POST request防止网站 POST 请求中的 CSRF
【发布时间】:2017-03-03 12:40:57
【问题描述】:

为了防止 CSRF 攻击,我需要重构但不是太多的 webapp(没有标签库的 jsp)。我不能使用像 describe here 这样的算法,但我认为 nonce id 对我来说是最好的解决方案:https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs 应用这些参数非常昂贵,因为我必须更改所有调用请求(为每个 Post 添加一个 get 并强制客户端进行第二次调用),所以我决定使用静态包含导入在我的所有 jsp 中添加一个输入隐藏文本框,以及用于匹配会话 Nonce ID 和请求 nonce ID 的 java Filter。我的解决方案是一种好的做法,是休息算法的替代方案吗? 对不起我的英语不好..

谢谢!

罗比

【问题讨论】:

    标签: java jsp csrf tomcat8 csrf-protection


    【解决方案1】:

    您的方法称为蜜罐验证码,它提供了一些保护,但并不接近安全。如果您使用这种方法,那么我作为用户将能够编辑您的 html 并轻松破解您的网站。此外,我可以从请求中查看正在发送的内容并编写我自己的程序来向您发送请求。所以不,这本身不是一个好方法,但如果你在真正的保护下使用它也不是一件坏事。

    【讨论】:

    • Real protection 是什么意思?例如 http 安全 (https/tls)?
    • @robyp7,这实际上是一个很好的问题。通过真正的保护,我指的是不相信客户端数据是正确的,并且在服务器端执行所有与安全相关的关键工作。当然,你需要确保没有 SQL 注入的可能性,你可以很好地应对 DDOS 攻击等等等等。该主题有大量书籍,我们只是触及了表面。
    猜你喜欢
    • 2019-05-26
    • 1970-01-01
    • 2014-06-02
    • 1970-01-01
    • 2014-06-17
    • 2016-02-19
    • 2015-07-08
    • 1970-01-01
    • 2016-07-07
    相关资源
    最近更新 更多