このアイデアはうまくいきますか?私のアプリは、ブラウザーが同じ情報 (つまり、セッション キー) の 2 つのコピーを送信したことを確認しているだけなので、かなりばかげているように思えます。
また、このチェックを忘れずに行うのは非常に面倒に思えます。Rails や CakePHP などの Web フレームワークには、XSRF 耐性のある Web アプリを簡単に作成できる機能がありますか?
1 に答える
2
セッション キーが漏洩しておらず (PHP の構成が不十分で session.use_trans_sid を使用している場合に発生する可能性があります)、セッション固定攻撃に対して脆弱でないと仮定すると、はい、これは安全です。これは、リクエスト フォーガーが Cookie を読み取れないため、正しい値がわからないためです。
単一のファイルを含めることでアプリケーションを保護できると主張するCSRF Magicに興味があるかもしれません。
于 2009-08-07T04:52:23.507 に答える