程序员经验分享-hwhale

无会话 CSRF 保护(双重提交 cookie)

2024-03-07

从我的讲座开始owasp.org https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet他们推荐同步器令牌模式,并且不鼓励使用双重提交 cookie。

同步器令牌模式涉及会话的使用。我有理由不想使用会话(在高流量环境中性能较差,并且它们很难在多台计算机之间共享)。因此,当我留下双重提交 cookie 时,我需要了解为什么它们可能不如会话方法那么安全。

owasp.org 文章提到 XSS 是一个潜在问题(因为在 HTML 表单中包含会话 ID 可以通过 JS 读取),但同步器令牌也可能会发生该问题(因为它们太多地包含在表单中,如隐藏字段)。简而言之,XSS 使任何 CRSF 保护变得毫无用处(如果您允许 XSS,那么 CSRF 可能不是您最大的问题)。

那么我有什么理由应该远离双重提交 cookie 吗?


None

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

Session

cookies

CSRF

无会话 CSRF 保护(双重提交 cookie) 的相关文章

  • 为 Blazor UI 应用程序实施防伪验证

    我们的应用程序是使用 Blazor Server 和与 Azure API 通信的 razor 页面构建的 我想知道对于 Blazor UI 我们是否应该实现防伪造 CSRF XSRF 如果可以 我可以获得一些如何实现的信息吗 我观察到为

  • res.cookie未在浏览器中设置cookie

    我目前正在尝试使用 React 客户端设置 Node Express 应用程序以与之交互 我设置了护照来处理 JWT 身份验证 当用户登录时 我验证电子邮件 密码 然后我设置cookie res cookie jwt token httpO

  • 会话在 Laravel 5.4 上不持久

    我在 Laravel Sessions 方面遇到了一些问题 现在我在 Laravel 5 4 下工作 所以 我使用以下代码来设置会话 request gt session gt put usuario somevalue 但是当我尝试使用以

  • 无法加载请求的类:会话

    我的配置文件看起来像这样 gt config sess cookie name ci session config sess expiration 7200 config sess expire on close TRUE config s

  • 如何结束用户会话并确保用户已注销?

    我是 aspx 的新手 现在的问题是 因为我正在做一个支持网络的项目 所以我从用户那里登录了 我拖放登录模板 然后使用 Session Authentication username Tostring 存储当前登录用户的信息等 现在我什至使

  • 仅在第一次使用 localStorage 加载网站时显示 DIV

    我正在尝试完成这项工作 但我遇到了一些问题 就像标题所说 我希望仅在第一次加载网站时显示 DIV 我知道如何使用 PHP 和 Cookie 但我想要使用 localStorage 函数 这是我的代码 div div document rea

  • 关于 PHP 范围的问题 - 从 Java 程序员的角度来看

    我对 PHP 还很陌生 所以我试图理解 PHP Web 应用程序中的范围概念 在 Java 世界中 Java Web 应用程序 使用 Java Server Pages JSP 及以上 将允许 Java Bean 具有以下级别的范围 Pag

  • Safari 不设置 cookie,但 Chrome 和 Firefox 会设置

    我正在将请求从本地主机发送到第三方服务器以使用 REST API 获取数据 后端使用cookies JSESSIONID 来了解是否发送数据 在 Chrome 中一切正常 我可以在 Chrome 浏览器的 应用程序 选项卡中看到 Cooki

  • Node + Express + Nginx 未设置 Cookie

    我有一个使用 Express 的 Node 应用程序 我尝试为我的客户端设置 cookie 它在本地环境 http 上运行良好 但是一旦我投入生产 https 我就很好地收到了cookie 我可以在响应中看到它 但它没有设置 任何想法 Ng

  • 会话对象不更新 ASP.NET

    我在代码的一个时刻设置了一个会话对象 Session my name Dave 稍后在我的代码中 我给用户一个更新此对象的机会 Session my name TextBox1 Text 我重新加载页面并显示一个简短的 hello 语句 如

  • 完全替换 ASP.Net 的会话

    ASP Net 会话对于传统的 WebForms 应用程序来说似乎很完美 但它们所做的一些事情对于现代 AJAX 和 MVC 应用程序来说是一个严重的问题 具体来说 访问 ASP Net 提供程序只有 3 种方法 锁定读和写 默认 会话被锁

  • 如何在 Express 4.0 中发送 Flash 消息?

    因此 我的 Web 应用程序需要身份验证 并且我有一个注册页面 如果用户尝试使用数据库中已有的电子邮件进行注册 我想向他们显示一条错误消息 我正在尝试在 html 端使用此代码来执行此操作 div class alert alert dan

  • Rails:跟踪用户的 ID

    在我的 Rails 应用程序中 我有一个登录页面 该人登录后 我的应用程序继续跟踪已登录人员的最佳方式是什么 例如 如果用户移动到不同的页面 我的控制器 操作将失去对该用户的跟踪 除非我继续传递用户随后访问的每个页面之间的变量 有更好的方法

  • Struts 2 中的 Java 应用程序可以管理多少个会话?

    我正在开发事务管理应用程序 并且正在使用 Struts2 我在内部使用了一个会话来设置和获取值 例如 ActionContext getContext getSession put string string 在应用程序中使用这样的会话是否

  • Cookie 不会重置

    好吧 我被难住了 我已经盯着这个看了好几个小时了 我使用以下代码在 access login php 设置 cookie setcookie username username time 604800 当我尝试注销 位于 access lo

  • 使用 Rails 自动登录?

    我正在尝试使用 Rails 的 Restful Authentication 插件建立一个简单的身份验证系统 我只是想知道它是如何工作的 b c 我似乎无法弄清楚 cookie 的要求是什么 以及如何做到这一点浏览器始终会记住您 6 个多月

  • 为什么 Chrome 审核建议我最小化 Cookie 大小?

    如何最小化请求的 cookie 大小 Chrome 似乎 警告我 我的 cookie 大小为 41B 这根本不是很多 但是它警告我有什么原因吗 这是一个 PHPSESSID cookie 我真的不知道如何最小化它 有任何想法吗 我的请求响应

  • 对过期会话进行休息调用:HTTP 401 响应导致浏览器显示登录窗口

    我编写了一个 HTML 5 应用程序 它使用 AngularJS 并与在 Tomcat 上运行的 Java REST 后端进行交互 我使用 Spring Security 来处理登录和安全性 当用户进入网站时 他将被转发到登录页面 该页面创

  • AngularJS 和 Laravel - 跨域 CORS / XHR 请求缺少(记住)cookie

    当我不使用 Chrome 中的 disable web security 选项时 我的 CORS XHR 请求在请求标头中缺少 Remember xyz cookie 如果我启用该选项 remember xyz cookie 将包含在请求标

  • 会话过期后如何重定向到登录页面?

    我有三个 JSF 2 0 Web 模块 当会话过期时我需要重定向到登录页面 我已经尝试过使用HttpSessionListener 它正在调用sessionDestroyed 事件方法 但我无法在那里转发 重定向请求 我认为这是因为没有Ht

随机推荐

  • 匹配器应该有_many 和自定义关系名称

    如何使用测试此 ActiveRecord 关系shoulda匹配者 Models class User lt ActiveRecord Base has many articles end class Article lt ActiveRe

  • 简单数据访问层

    谁能建议一个简单的数据访问层 C NET 不热衷于使用微软应用程序数据访问块 显得非常臃肿和矫枉过正 也因为各种原因不想使用LINQ to SQL 出于各种原因 我想在此基础上创建我们自己的内部 ORM 过去我总是已经构建了数据访问层 所以

  • LINQ 性能 Count 与Where 和 Count

    public class Group public string Name get set 测试 List

  • 使用 jQuery data() 方法存储函数

    jQuery data 文档 http api jquery com data 说如下 The data 方法允许我们将任何类型的数据附加到 DOM 元素 我认为 任何类型 也指函数 假设我有一个 id 为 foo 的 div 如下所示 d

  • Google Maps iOS SDK,获取用户的当前位置

    For my iOS应用程序 内置iOS7 我需要在应用程序加载时显示用户的当前位置 我正在使用Google Maps iOS SDK 我正在关注这个谷歌地图 https developers google com maps documen

  • SSIS 可以支持加载每行具有不同列长度的文件吗?

    目前 我每天收到大约 75 万行的文件 每行开头都有一个 3 个字符的标识符 对于每个标识符 列数可以更改 但特定于标识符 例如 SRH 将始终有 6 列 AAA 将始终有 10 列 依此类推 我希望能够通过 SSIS 将此文件自动生成 S

  • TinyMCE execCommand 返回未定义

    我试图从我之前创建的特定文本区域中删除tinyMCE 但以下命令不断产生 未定义 错误 使用firebug控制台检查 tinyMCE execCommand mceFocus false textarea plainText tinyMCE

  • 最高的 firebase 版本代码也用于编译播放服务库

    我在我的项目中使用某些 firebase 和 play 服务库 将播放服务插件版本更新至 4 0 0 后 由于 firebase 和 play 服务现在对每个库使用不同的版本编码策略 其中任一库中的最高版本代码将被所有其他库替换 这导致无法

  • 为什么 HRESULT 0 表示成功?

    我刚刚在处理 HRESULT 返回值时遇到了一些非常尴尬的事情 似乎成功为 0 失败为 1 这背后的逻辑是什么 我实际上尝试过if hr 并悲惨地失败了 浪费了我生命的一个小时 直到我发现实际的成功 retval 是 0 我想称想到这个的人

  • 没有活跃的源代码控制提供商

    我在 Ubuntu 上安装的 VS Code 编辑器表明它没有活动的源代码控制提供程序 我正在使用 Ubuntu 并且正在运行 git version 表明它是v2 18 0 我的项目中有一个 git 文件夹 我该如何解决这个问题 另外两个

  • 使用对象检测API的默认配置时,图像缩放器的不同尺寸有何影响

    我试图使用 Tensorflow 的对象检测 API 来训练模型 我正在使用更快的 rcnn resnet101 的示例配置 https github com tensorflow models blob master object det

  • 如何在windows下制作Qt mysql驱动?

    我已经在linux中多次构建了qsqlmysql so 我完全熟悉这个过程 但现在在愚蠢的窗口中 无论我做什么 我都无法构建它 我使用的是Qt5 12 1 最新 和Microsoft VS enterprise 2017编译器 我已经下载了

  • 在客户设备上测试 iPhone 应用程序

    我已经为 iphone 创建了一个应用程序 我还有一个苹果开发者计划证书来编译我的应用程序 现在我想将其发送给我的客户进行审核 我怎样才能做到这一点 他需要什么证书吗 谢谢你 是的 您需要前往苹果会员中心 然后前往配置门户 您需要在那里注册

  • 将 FOR XML 转换为 Varchar(max) [重复]

    这个问题在这里已经有答案了 我有一个返回 XML 的查询 我想将其转换为 varchar 我的查询返回 93 643 个 XML 字符 当我尝试将 xml 结果转换为 varchar 时 将结果集复制到文本编辑器时只得到 43 679 个字

  • Laravel 动态配置设置

    我在我的项目中使用一个包 它在里面存储一个设置config packagename 我想在配置文件中动态更改此值 这就是文件结构当前的样子

  • 如何在 MacOS 上安装 Firefox OS SDK?

    我想开始为 Firefox OS 进行开发 但安装时遇到问题 我正在关注 mozilla 的 wiki 但现在我不知道如何继续 我已经下载了 XULRunner 但是我该怎么办 我正在尝试遵循维基 但没有找到解决方案 Link https

  • 在子视图 (UIWebView) 上获取 TouchBegan

    我有一个 UIWebView 它作为子视图添加到 UIview 中 我想检测何时触摸此 UIWebView 但 TouchBegan 不起作用 任何想法 在代码中子类化 UIWebView 然后在类中实现 TouchBegan 将子类化的

  • Visibility.Collapsed 和 Visibility.Hidden 之间的区别

    之间有什么区别Visibility Collapsed and Visibility Hidden in WPF 不同之处在于Visibility Hidden隐藏控件 但保留它在布局中占用的空间 因此它渲染空白而不是控件 Visibilt

  • 判断Java中的网络掩码是否有效

    Java 6 中确定给定地址是否为有效网络掩码的最简单方法是什么 我找到了一个解决方案 它基本上创建了一组有效的IP以用于比较 即 255 255 255 255 255 255 255 254 255 255 255 252 等 有更简单

  • 无会话 CSRF 保护(双重提交 cookie)

    从我的讲座开始owasp org https www owasp org index php Cross Site Request Forgery 28CSRF 29 Prevention Cheat Sheet他们推荐同步器令牌模式 并且

热门标签