CSRF 风险和代币

【问题标题】:CSRF Risks and TokensCSRF 风险和代币
【发布时间】:2012-11-25 05:43:06
【问题描述】:

我有一个书签,可以将表单注入到另一台服务器的网页中。此表单使用 jQuery 通过 JSONP 将数据提交回我的服务器,将提交的数据添加到数据库中。

问题:这个注入的表单还在隐藏字段中包含一个 CSRF 令牌:

<input type="hidden" name="csrf_token" value="MWkgtQbdH6maJhuGL7ObwPcbgqARUCTjb4NSdo29">

这还会带来 CSRF 风险吗?

【问题讨论】:

标签: php jquery json jsonp csrf


【解决方案1】:

页面仍然可以被远程抓取和提交。这是一种威慑,但不是绝对的解决方案。它会停止链接,但有人可以远程发布表单。

您也可以检查引荐来源网址,但某些客户端和防火墙会阻止发送引荐来源网址。

一种解决方案是在提交时通过 js 设置一个 cookie,然后验证该服务器端。

【讨论】:

  • 你的意思是用户使用我的书签的网站可以以注入的形式刮取CSRF令牌,并进行CSRF攻击?
  • 我想我必须了解更多才能了解您要解决的问题,但可以从输入中检索令牌并通过表单以外的其他方式传递。
猜你喜欢
  • 2011-06-11
  • 2012-12-17
  • 2018-05-02
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2014-05-29
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode