5

CSRFを防ぐ一般的な方法は、フォームに隠されたトークンを使用することです。好奇心だけで、これが実際にCSRFを防ぐ唯一の方法ですか?CSRFトークンが不要であると主張する人々は私を夢中にさせており、その理由を理解する必要があります。他にどうすればCSRF攻撃を防ぐことができますか?

4

1 に答える 1

1

実際に CSRF トークンを使用することは、防御のもう 1 つのレイヤーにすぎません。OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheetによると、リクエスト元の検証は CSRF 保護にも使用できます。使用できるオリジンを確認するには、

  1. オリジンヘッダー
    • Origin ヘッダーには、リクエストを開始したスキーム、ホスト、およびポートの情報が含まれます。
  2. リファラーヘッダー
    • Referer ヘッダーには、現在リクエストされている Web ページへのリンクをたどった前の Web ページのアドレスが含まれています。

ただし、このアプローチの使用には、ヘッダーの使用不可や完全性などの制限があります。攻撃者がこれらのヘッダーの値を変更する方法があります。したがって、常に複数の防御層を用意することをお勧めします。

于 2017-10-15T16:36:42.023 に答える