CSRFを防ぐ一般的な方法は、フォームに隠されたトークンを使用することです。好奇心だけで、これが実際にCSRFを防ぐ唯一の方法ですか?CSRFトークンが不要であると主張する人々は私を夢中にさせており、その理由を理解する必要があります。他にどうすればCSRF攻撃を防ぐことができますか?
質問する
476 次
1 に答える
1
実際に CSRF トークンを使用することは、防御のもう 1 つのレイヤーにすぎません。OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheetによると、リクエスト元の検証は CSRF 保護にも使用できます。使用できるオリジンを確認するには、
- オリジンヘッダー
- Origin ヘッダーには、リクエストを開始したスキーム、ホスト、およびポートの情報が含まれます。
- リファラーヘッダー
- Referer ヘッダーには、現在リクエストされている Web ページへのリンクをたどった前の Web ページのアドレスが含まれています。
ただし、このアプローチの使用には、ヘッダーの使用不可や完全性などの制限があります。攻撃者がこれらのヘッダーの値を変更する方法があります。したがって、常に複数の防御層を用意することをお勧めします。
于 2017-10-15T16:36:42.023 に答える