当检测到跨站请求伪造 (CSRF) 时,我应该发回什么响应?
有一个我无法获取的扫描工具,它说我的一个页面没有受到保护CSRF。但它是。我发回的回复是正常的202带有句子“请求无法处理”。就是这样,没有任何信息被发送回攻击者,并且我记录了这次尝试。但该软件表示它仍然容易受到CSRF。我可以轻松地自己运行测试并找出答案,但是扫描和测试之间的时间很长,而且我无法获得相同的软件,这就是我询问 stackoverflow 的原因,所以我希望可以在下一次计划的扫描中将其解决。我正在考虑发回 statusCode404 or 410代替202. http://www.cfgears.com/index.cfm/2009/8/11/cfheader-404-status-codes-and-why-you-shouldnt-use-them http://www.cfgears.com/index.cfm/2009/8/11/cfheader-404-status-codes-and-why-you-shouldnt-use-them
当您收到邮件时,您建议发回什么?CSRF被检测到?
403 Forbidden http://en.wikipedia.org/wiki/HTTP_403由于用户在技术上被授权访问该站点,因此只是禁止特定的操作(没有正确的 CSRF 令牌的 HTTP POST)。
Web 服务器可能会返回 403 Forbidden HTTP 状态代码来响应客户端对网页或资源的请求,以指示可以到达服务器并理解该请求,但拒绝采取任何进一步的操作。状态代码 403 响应是 Web 服务器被配置为出于某种原因拒绝客户端对所请求资源的访问的结果。
请记住,攻击者将无法读取此响应,并且在大多数情况下,用户将看不到消息或 HTTP 响应,因为 CSRF 攻击的设计目的并不是让受害者明显意识到它正在发生。如果你有有效的 CSRF 机制,你的网站无论如何都不会受到这种方式的攻击——防御也是威慑。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
