![](/img/trans.png)
[英]Is CSRF Token retrieved via API (not embedded in HTML) safe/secure?
[英]Is API for CSRF token safe?
构建一个 API 提供 CSRF 一次性使用令牌以避免 CSRF 攻击是否安全? 这会打开一个新的漏洞吗?
我对包含 CSRF 的传统方法还有一个疑问。 我想知道以表单提供的 csrf 令牌可以被抓取,攻击者可能会实施攻击。 如果我的思维过程不正确,请纠正我。
首先,您需要了解 CSRF 攻击的样子。 有人可以向您发送http://malicious.com/whatever.html的链接。 你打开这个站点,会有一个不可见的表单,它会向http://example.com/account/1/delete发送一个 POST 请求。 您将在其他选项卡上登录 example.com,因此假设 session 是通过 cookie 处理的,cookie 会自动附加,并且您执行一个您从未打算甚至不知道的请求。
我们可以通过不同的方式缓解 CSRF 问题,包括反 CSRF 令牌。 这个想法是存在某种秘密恶意。com 将不知道并且不容易猜到。 请注意,在 CSRF 场景中,您的攻击手段是让人们打开一些链接。 您无法访问他们所看到的内容。 您只需向他们发送一个链接,并期望一些请求以他们的访问权限执行。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.