0

もう一度質問して申し訳ありませんが、pplはcsrfをフォームの送信またはフォームの複製とのみ接続しているようです(理由はidk)。

私のアイデアは、外部の要求からデータを保護することです。リクエストごとにトークンを設定し、ユーザーがログインしてトークン化を開始します。これにより、攻撃者は前のページを読み込んでトークンを取得し、次のリクエストに送信できなくなります。プライベートユーザーのコンテンツが盗まれないように、最初から各リクエストをトークン化するのは良い考えですか?これは、保護されていないソーシャルWebサイトに対する強力な攻撃だと思います。攻撃者は、別の人気のあるWebサイトからユーザーデータを盗みます。

4

1 に答える 1

0

私があなたを正しく理解していれば、(サーバー側で) cache-control: private ヘッダーを追加するのは適切なことではないでしょうか? これにより、キャッシュやプロキシが他の関係者のためにコンテンツをキャッシュしなくなります。https と組み合わせて使用​​すれば問題ありません。

http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

于 2012-04-04T06:55:57.710 に答える