繁体 English 中英

登录后是否需要csrf令牌？

[英]Do I need csrf tokens after login?

原文 2015-03-12 17:11:59 9 1 ajax/ node.js/ security/ reactjs/ csrf

我正在构建一个简单的待办事项列表，用户可以在其中登录（使用csrf-token），然后将项目添加到待办事项列表中。 用户已经登录后，是否需要在使用AJAX（待办事项列表项）的提交中添加csrf_tokens？ 我正在使用基于会话的身份验证。

1 个解决方案

好吧，我想是的，您必须这样做，请看以下摘自owasp （开放式Web应用程序安全性项目）文档的摘录：

以普通用户为目标时，成功的CSRF攻击可能会破坏最终用户数据及其相关功能。 如果目标最终用户是管理员帐户，则CSRF攻击可能会破坏整个Web应用程序。 更有可能受到攻击的站点是社区网站（社交网络，电子邮件）或具有与其关联的高美元值帐户的站点（银行，股票经纪，账单支付服务）。 即使用户 使用强加密（HTTPS） 登录 到网站， 也会发生此攻击 。 利用社会工程学，攻击者会将恶意HTML或JavaScript代码嵌入到电子邮件或网站中，以请求特定的“任务网址”。 然后，可以在有或没有用户知道的情况下直接或通过利用跨站点脚本缺陷（例如：Samy MySpace Worm）执行任务。

CSRF和Ajax：我需要保护吗？

[英]CSRF and Ajax: Do I need protection?

我需要 jQuery .ajax() 的 CSRF 令牌吗？

[英]Do I need a CSRF token for jQuery .ajax()?

这就是我需要做的就是用php和ajax来防止csrf攻击？

[英]is this all i need to do to prevent csrf attacks with php and ajax?

CSRF 令牌和 Codeigniter 3

[英]CSRF Tokens and Codeigniter 3

如果我不使用表单标签，是否需要使用 csrf 保护？

[英]Do I need to use csrf protection if I am not using form tags?

Django：使用 AJAX 登录，如何（应该）更新表单的 CSRF 令牌？

[英]Django: using AJAX for login, how do (should) I update a form's CSRF Token?

我登录时 csrf 验证失败

[英]csrf validation failed when I login

Django CSRF 验证在使用 Ajax 登录后表单验证失败

[英]Django CSRF verification failed on form validation after login with Ajax

提交后ajax登录csrf密钥输入更改

[英]ajax login csrf key input change after submit

在ajax登录后提交其他表单时，CSRF令牌错误

[英]CSRF token error when submitting different form after ajax login

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 CSRF和Ajax：我需要保护吗？我需要 jQuery .ajax() 的 CSRF 令牌吗？这就是我需要做的就是用php和ajax来防止csrf攻击？ CSRF 令牌和 Codeigniter 3 如果我不使用表单标签，是否需要使用 csrf 保护？ Django：使用 AJAX 登录，如何（应该）更新表单的 CSRF 令牌？我登录时 csrf 验证失败 Django CSRF 验证在使用 Ajax 登录后表单验证失败提交后ajax登录csrf密钥输入更改在ajax登录后提交其他表单时，CSRF令牌错误

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM