从我的讲座开始owasp.org https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet他们推荐同步器令牌模式,并且不鼓励使用双重提交 cookie。
同步器令牌模式涉及会话的使用。我有理由不想使用会话(在高流量环境中性能较差,并且它们很难在多台计算机之间共享)。因此,当我留下双重提交 cookie 时,我需要了解为什么它们可能不如会话方法那么安全。
owasp.org 文章提到 XSS 是一个潜在问题(因为在 HTML 表单中包含会话 ID 可以通过 JS 读取),但同步器令牌也可能会发生该问题(因为它们太多地包含在表单中,如隐藏字段)。简而言之,XSS 使任何 CRSF 保护变得毫无用处(如果您允许 XSS,那么 CSRF 可能不是您最大的问题)。
那么我有什么理由应该远离双重提交 cookie 吗?
None
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)