GET 请求的 CSRF 保护

【问题标题】:CSRF protection for GET requestsGET 请求的 CSRF 保护
【发布时间】:2015-10-15 08:53:24
【问题描述】:

我有一个 RESTful API,我通过自己制作的网站与之交互。我有 POST、DELETE、PUT 等请求得到充分保护,因此攻击者无法通过 CSRF 对数据库进行任何更改。

但是,如果有人使用 CSRF 向网站发出 GET 请求,我担心他们可能能够查看响应,这可能会泄露存储在数据库中的敏感数据。

他们是否可以查看对跨站点 GET 请求的响应,或者这完全由 Javascript 的同源策略处理?

【问题讨论】:

  • 检查security.stackexchange.com/questions/36671/…
  • 并没有真正回答我的问题。我不会在 GET 请求上使用 CSRF 令牌,因为它们会破坏我网站的功能。例如,用户不能为他们经常返回的特定结果页面添加书签,也不能同时在多个标签中浏览网站,这对我的用例来说是必不可少的。

标签: javascript csrf same-origin-policy


【解决方案1】:

这是否完全由 Javascript 的同源策略处理?

是的。这就是同源政策的重点。

要容易受到攻击,您需要:

  • 使用 JSONP 或 CORS 之类的方法在 SOP 中打一个洞
  • 不执行用户身份验证,以便他们可以访问数据,而无需将经过身份验证的用户的浏览器作为中间人参与

【讨论】:

    猜你喜欢
    • 2022-10-17
    • 2013-10-30
    • 2019-01-25
    • 2012-03-15
    • 2014-02-19
    • 2012-09-04
    • 2013-03-20
    • 2011-01-21
    • 2021-07-14
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode