我想知道登录和跨站点请求伪造之间是否有任何关系?我的问题是,是否有不需要登录但仍需要保护 CSRF 的网站?能给我举个例子吗
问问题
123 次
2 回答
0
为了使 CSRF 有效,您的站点只需要能够以不需要显式身份验证或验证的方式代表某人行事。
通过自动登录 cookie 登录的用户是最流行的 CSRF 攻击,但例如时事通讯订阅表格可能同样容易受到攻击,并且可能导致人们从您的系统收到不需要的电子邮件以确认他们的订阅。
所以回答你的问题,虽然登录和 CSRF 是相关的,但它们并不是相互排斥的。
于 2012-05-20T07:49:01.427 回答
0
CSRF 攻击利用客户端请求的真实性,因为攻击站点能够伪造客户端代表客户端执行的请求,从而享有服务器对客户端请求的信任。因此,服务器假定来自客户端的任何请求都是控制客户端的用户的预期行为。CSRF 利用了这种隐含的信任。
此时不需要对客户端进行身份验证。尽管经过身份验证的用户通常具有攻击站点所针对的特权,但 CSRF 攻击的主要目标是在用户不知情的情况下代表用户发送任意请求。因此,目标站点也可以是您需要与攻击站点不同的发起者的任何站点(例如投票、唯一访问者、恶意活动等)。
于 2012-05-22T10:44:51.220 回答