見積もり:
CSRF が「大物」だった頃から Web は大きく変化し、CSRF 攻撃で使用される戦術は時代遅れになりつつあります。
私は個人的に CSRF から保護していません。主な理由は、あからさまに安全でない認証方法を使用していないからです。
彼は何か意味がありますか?
いくつかの議論を提供してください私が正しい場合、なぜこの男は(頑固なのですか?)、または私が主張しようとしているときに明確に考えていないのですか?
質問する
76 次
1 に答える
5
引用された議論はそのままでは意味がありませんが、おそらく私たちが見逃している他の文脈があるでしょう.
CSRFの問題がなく、「露骨に安全ではない」と同僚が提案している認証の形式は不明です。
いくつかの可能性があります。たとえば、完全に AJAX 駆動型のアプリでは、セッションに依存する代わりに、入力パラメーターとして認証トークンを渡す可能性があります。その場合、認証トークンはすでに攻撃者が利用できない秘密であるため、CSRF対策を追加する必要はありません。
しかし、CSRF は一般的になくなったわけではありません。ブラウザは、それを止めるための魔法の機能を成長させていません。ブラウザー永続認証モデル (Cookie、HTTP 認証) を使用する webapp の典型的なモデルの場合、何らかの方法で対処する必要があります。
于 2012-05-17T22:35:49.423 に答える