CSRF - 同一浏览器的多个应用程序实例

【问题标题】:CSRF - same browser multiple instances of appCSRF - 同一浏览器的多个应用程序实例
【发布时间】:2015-05-03 17:33:52
【问题描述】:

打开浏览器,输入admin的网址,登录成功,进入公告内页,新增公告。打开一个记事本编写杂项 html 页面,其中包含表单操作和隐藏字段,以删除添加的公告和隐藏的 CSRF 令牌,我可以从已经打开的浏览器选项卡中知道。接下来在同一个浏览器中打开新选项卡并使用提交打开杂项 html 页面,这删除了添加的公告,因为 CSRF 令牌匹配。如何防止这种情况?我使用 PHP 5 完成了这项工作。

【问题讨论】:

  • 需要更多帮助吗?如果是这样,我会更新我的答案。
  • 是的,请更新您的答案。
  • 能否请您详细说明我应该如何扩展它以帮助您?

标签: php csrf


【解决方案1】:

您不需要阻止这种情况 - 攻击者将无法从当前用户的会话中读取 CSRF 令牌 - CSRF 令牌应该绑定到每个用户会话。 CSRF 令牌应该不能用于生成它的会话之外的会话中。

任何不这样做的实现都是有缺陷的。

【讨论】:

    猜你喜欢
    • 2022-11-11
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-03-08
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode