Web アプリに RSA 認証を使用する場合でも、トークンを使用して CSRF 攻撃に対処する必要があります。そうしないと、RSA 認証で対処できます。
1 に答える
0
それはあなたの実装に依存します... rsa自体はcsrfとは何の関係もありません...
認証スキーマはある程度の保護を提供できます (たとえば、ユーザーにすべての入力に署名させる場合)。
サーバー側では、ログイン時にユーザーセッション内に保存されたソルトを作成し、ユーザー入力を保護する必要があるたびに hash(current_timestamp, salt) を計算し、その値 + current_timestamp を非表示フィールドとしてフォームに与えます...ユーザー入力を受け取り、ソルトを取得し、値を再計算します...それがクライアントから取得したものと一致する場合、入力が csrf を介して行われた可能性は低いです...
ソルトをユーザーに公開することは決してないため、ユーザーまたは攻撃者がそのソルトを取得する方法はありません (セッションデータベースから直接取得することを除いて、侵害されたシステムを意味します) ...
于 2013-06-02T13:58:42.883 に答える