修改表单 fkey 时堆栈溢出会发生什么? [关闭]

【问题标题】:What happens on stack overflow when you modify the form fkey? [closed]修改表单 fkey 时堆栈溢出会发生什么? [关闭]
【发布时间】:2011-09-16 06:49:41
【问题描述】:

当您更改 xsrf 令牌值时,流行的编程网站会做什么?

【问题讨论】:

  • 你为什么不试试看呢?如果复制密钥并从代码发回可以让您自动提交表单,那也会很有趣。
  • 在我点击之前,这听起来像是一个带有非常糟糕的妙语的笑话。
  • SO 让表单发布继续对我来说很有趣。让我想到这一点的是不久前阅读 Jeff 关于 XSRF 保护的帖子:codinghorror.com/blog/2008/10/…。他谈到了 SO 使用每个表单的唯一令牌,但现在似乎不再如此。另外,修改表单中的token似乎没有任何效果。由于他对 XSRF 的立场,这让我很好奇。
  • 我们都知道 SO 的安全性很差,但你应该用不同的措辞来表达这个问题。两种最常见的方法是:在应用程序执行任何操作之前终止或取消设置 GET/POST 变量。

标签: security csrf


【解决方案1】:

当我用 Firebug 修改它时,答案似乎是“什么都没有......它接受表单发布”

【讨论】:

  • 我们没有在 /questions/ask/submit 上检查这一点——但我们在其他任何地方都会这样做。只是一个疏忽,感谢您的提醒!
猜你喜欢
  • 2014-07-20
  • 1970-01-01
  • 2017-05-28
  • 1970-01-01
  • 2014-09-19
  • 2018-07-01
  • 1970-01-01
  • 1970-01-01
  • 2015-07-10
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode