2

我正在考虑这一点,它似乎 POST 只是不那么容易受到攻击并且更难(要求用户单击某些东西)。

我阅读了有关令牌 ID 和双重提交的 cookie 的信息,但我不确定有什么区别

http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Disclosure_of_Token_in_URL http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Double_Submit_Cookies

现在我有用户 ID(我的表中的 PK)和会话 ID,因此您不能简单地更改您的 cookie ID 并像其他人一样行事。现在似乎我将会话 ID 作为令牌放入每个表单中并检查它们,因为攻击者无法猜测这些令牌。但是,我不喜欢将会话 ID 放入页面以供 ppl 看到的想法。但实际上,这样做有问题吗?如果没有让用户复制/粘贴 html,是否会由于会话 id 在 html 中的普通视图而发生任何攻击?

4

2 回答 2

1

如果用户可以复制带有令牌的链接,这是非常不安全的。当前地址也是如此:如果您使用静态会话 ID,则对外部站点的引用或屏幕截图将导致会话受到威胁。即使您没有静态会话 ID,用户也可以将鼠标悬停在链接上,该链接会显示在浏览器底部,然后截取屏幕截图,再次使会话受到威胁。

于 2010-05-20T23:07:21.033 回答
0

无论如何,会话 ID 在客户端都是已知的。他们将如何将其与请求一起发送?

于 2010-02-11T08:32:58.447 回答