网站可以将 csrf_token 显示为 URL 参数吗?我有一种感觉,我不应该看到它,但我不太确定。如果有人可以澄清一下,我将不胜感激!
问问题
1358 次
2 回答
4
不,这是不可接受的。
在 URL 中传递令牌通常不是可接受的解决方案。实际上它在某些情况下被认为是一个漏洞。
如果网站不在HTTPS下运行怎么办?
如果它在HTTPS下运行但服务器上未启用HSTS怎么办?那么SSL-Stripping技术和其他MITM攻击将成为可能。
即使它在HTTPS下运行并且启用了HSTS也无法解决问题。
令牌可能会暴露在:
- 参考标头
- 网络日志
- 共享系统
- 浏览器历史
- 浏览器缓存
欲了解更多信息,请参阅:
于 2018-01-08T10:30:44.540 回答
1
CSRF Token 的典型特征如下:
- 每个用户会话唯一 - 大随机值 - 由加密安全的随机数生成器生成
GET 请求中的 CSRF 令牌可能会在多个位置泄露:浏览器历史记录、HTTP 日志文件、指向记录 HTTP 请求第一行的网络设备,以及受保护站点链接到外部站点时的引用标头,因此它是不建议。
于 2018-01-06T14:58:05.407 回答