【发布时间】:2017-10-30 02:34:51
【问题描述】:
如果我的跨站点请求伪造令牌可以在我的网页源代码上查看我正在生产中运行一个 Rails 应用程序并且可以看到跨站点请求伪造令牌。我想它不应该是可见的。
【问题讨论】:
【发布时间】:2017-10-30 02:34:51
【问题描述】:
只要令牌在每个用户会话中足够随机且唯一,在页面代码中就可以看到它。 CSRF 攻击假设恶意代码从不同的来源运行,并且无法访问用户的页面。在OWASP Article 中查看更多详细信息。
【讨论】:
-
我同意你的看法。但是如果存在 CORS 错误配置,攻击者可以窃取。有什么办法不存储在那里?
-
@Vis 如果 CORS 配置错误,那么您遇到的问题比 CSRF 更糟糕。