1

我使用 Fiddler 查看我网站上的一些攻击向量。我从我的验证函数中复制了 http-request 并对其进行了更改:我切断了引用行。它有效。这是 CSRF 的证据吗?

换句话说,问题是:当我在没有引用者的情况下在 Fiddler 中重现 HTTP 请求时,这是否表明我的站点容易受到 CSRF 的攻击?或者我可以只使用 Fiddler 来查找 CSRF 攻击吗?

4

1 回答 1

1

不一定,不。Referer-checking 是试图阻止 CSRF 的一种方法,但它通常不是最佳选择,因为一些中介会剥离此标头,并且如果客户端浏览器或其插件有错误,攻击者可能会发送虚假的 referer。今天的大多数站点在 HTTP POST 正文中发送一个随机数,服务器使用该随机数来验证请求是由第一方站点上的页面生成的,而不是跨站点请求。

于 2013-07-04T17:03:52.523 回答