引用:
自从 CSRF 成为“大事”以来,Web 发生了很大变化,用于 CSRF 攻击的策略也变得过时了。
我个人不保护 CSRF,主要是因为我不使用公然不安全的身份验证方法。
他有什么意义吗?
请给我一些论据如果我是正确的,为什么这个人在我试图表达观点时会(固执?)或没有清楚地思考,但我实际上并不知道如何表达它......
问问题
76 次
1 回答
5
引用的论点按原样没有意义,但大概还有其他一些我们遗漏的上下文。
目前尚不清楚您的同事提出的身份验证形式“不会明显不安全”,不会出现 CSRF 问题。
有一些可能性,例如在完全由 AJAX 驱动的应用程序中,您可能会将身份验证令牌作为输入参数传递,而不是依赖会话。在这种情况下,您不需要额外的反 CSRF 措施,因为身份验证令牌已经是攻击者无法获得的秘密。
但总体而言,CSRF 并没有消失。浏览器还没有增加神奇的功能来阻止它的发生。对于使用浏览器持久性身份验证模型(cookies、HTTP 身份验证)的典型 webapp 模型,您肯定仍然需要以某种方式解决它。
于 2012-05-17T22:35:49.423 回答