4

可以使用多种技术来防止 CSRF/XSRF。

其中一种技术是使用客户端会话唯一的令牌,客户端向服务器发送每个请求;正在服务器端进行验证。如果请求令牌和服务器端的令牌匹配,则允许请求进入应用程序,否则不允许进入。因此将检测到 CSRF 攻击。

尽管该技术背后的想法对我来说非常清楚,但我不确定 URL 重写如何有助于防止 CSRF 攻击?安全专家可以对此有所了解吗?

4

1 回答 1

2

这是一个关于 URL 重写的简短故事。它说:

我们可以通过频繁更改 URL 来降低这些漏洞的大部分风险——不是每 200 年一次,而是每 10 分钟一次。攻击者将不再能够通过大量电子邮件发送中毒的超链接来利用应用程序漏洞,因为当邮件到达目标受害者时,链接将被破坏和无效。

我猜(并且文章同意)这是防止此问题发生的总体方法的一个方面。微软也有一篇很好的文章讨论了这一点。

于 2009-07-31T15:53:03.577 回答