4

CSRF / XSRFは、さまざまな手法を使用して防止できます。

手法の1つは、クライアントからサーバーに送信されるすべての要求で、クライアントセッションに固有のトークンを使用することです。これはサーバー側で検証されています。リクエストトークンとサーバー側のトークンが一致する場合、リクエストはアプリケーションに入ることができ、一致しない場合は入ることができません。したがって、CSRF攻撃が検出されます。

この手法の背後にある考え方は私には非常に明確ですが、URLの書き換えがCSRF攻撃の防止にどのように役立つかはわかりません。セキュリティの達人はこれに光を当てることができますか?

4

1 に答える 1

2

これは、 URLの書き換えについて説明する簡単な話です。それは言う:

URLを頻繁に変更することで(200年に1回ではなく、10分に1回)、これらの脆弱性のリスクの多くを軽減できます。攻撃者は、メッセージが意図した被害者に届くまでにリンクが壊れて無効になるため、汚染されたハイパーリンクを大量に電子メールで送信することによってアプリケーションの脆弱性を悪用することはできなくなります。

私が推測する(そして記事が同意する)のは、この問題の発生を防ぐための総合的なアプローチの1つの側面です。Microsoftには、これについて説明している優れた記事もあります。

于 2009-07-31T15:53:03.577 に答える