https 是防止 csrf 攻击的 csrf 令牌方法的先决条件吗?

【问题标题】:Is https a pre-requisites for csrf token approach to prevent csrf attacks?https 是防止 csrf 攻击的 csrf 令牌方法的先决条件吗?
【发布时间】:2020-08-23 02:49:16
【问题描述】:

使用 csrf 令牌方法,当服务器向客户端发送表单时,它也会发送一个 csrf 令牌。当客户端填写表单并将其发布到服务器时,服务器会验证令牌是否与它与表单一起发送的令牌相同。这种方法可以防止 csrf 攻击,因为黑客在尝试生成表单发布请求时无法猜测 csrf 令牌值。

我是否正确地说 https 是 csrf 令牌方法以防止 csrf 攻击的先决条件?否则如果是http请求,黑客可以截取表单、token并进行修改,再次提交表单。

【问题讨论】:

    标签: security csrf websecurity


    【解决方案1】:

    我会说不-作为概念-,因为有人可能会说使用过时的 TLS 协议通过 https 连接进行 csrf 攻击是可能的,所以¿是否需要 TLS v1.3 来防止 csrf 攻击?当然,https 会在连接上添加另一层保护,但在概念层面上,我会说 https 不是 CSRF 令牌工作的“必需”,但它是一个实用的。

    OWASP itself says

    “HTTPS 本身并不能防御 CSRF。 但是,HTTPS 应被视为任何预防措施值得信赖的先决条件。”

    【讨论】:

      猜你喜欢
      • 2015-09-28
      • 1970-01-01
      • 2014-01-02
      • 1970-01-01
      • 2016-01-30
      • 2013-02-25
      • 2018-01-08
      • 2020-06-11
      • 2012-08-20
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode