我已经从这里看到了一些问题(stackoverflow)并且THIS http://www.codinghorror.com/blog/2008/10/preventing-csrf-and-xsrf-attacks.html发帖了,但我还有一些问题...
-
在帖子表单中使用隐藏值,并在帖子到达服务器时检查它。
- 隐藏值可以很容易地被复制并发送,就像真实的值一样,“难以猜测”(如 md5)将无济于事。 (正确的?)
-
当您到达表单时设置 cookie 并将 cookie 值作为隐藏值发送。
- 您可以轻松更改 cookie 值或使用相同的真实隐藏值发送与真实 cookie 完全相同的自定义 cookie。 (正确的?)
-
使用“超时”,POST 值不会达到太晚。
- 因此,如果你很慢,当你尝试使用隐藏值设置所有内容时,你就会失败。如果你动作快的话,一定会成功的。 (正确的?)
我想受到有关 CSRF 的保护...但我到底该怎么做呢?
我发现防止 CSRF 问题的最简单方法是:
在服务器端,分配一个HttpOnly https://blog.codinghorror.com/protecting-your-cookies-httponly/使用随机(不可猜测的)令牌向客户端发送 cookie
使用该 cookie 值在表单上放置一个隐藏字段
表单提交后,确保隐藏字段值等于 cookie 值(在服务器端)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)