Django CSRF 与 2FA
Django CSRF vs 2FA
我正在使用承包商进行 Web 开发,作为管理面板安全的一部分,他想实施 CSRF。
我从未使用过 CSRF,但多个网站使用 2FA。他说 CSRF 会负责安全,我不需要 2FA。
我找不到与比较 CSRF 与 2FA 相关的文章。您能否评论一下 Django CSRF 与 2FA 的优缺点?
您不会找到任何比较这两者的文章,因为它们完全是正交的概念。
跨站点请求伪造 (CSRF) 保护是任何使用 cookie 进行会话管理的应用程序的基本安全要求。攻击者可以诱骗受害者的浏览器发送伪造的请求,该请求将使用受害者的 cookie 来验证请求。 CSRF 保护检测并拒绝这些伪造的请求。不实施 CSRF 保护是一个严重的安全问题。
2FA 为登录增加了一个额外的步骤。如果其中一个因素(例如密码)被泄露,攻击者在没有第二个因素的情况下仍然无法登录。即使会话无法被 CSRF 攻击破坏,实施 2FA 也会增加用户帐户的安全性。
CSRF 保护绝不能替代 2FA。
我正在使用承包商进行 Web 开发,作为管理面板安全的一部分,他想实施 CSRF。
我从未使用过 CSRF,但多个网站使用 2FA。他说 CSRF 会负责安全,我不需要 2FA。
我找不到与比较 CSRF 与 2FA 相关的文章。您能否评论一下 Django CSRF 与 2FA 的优缺点?
您不会找到任何比较这两者的文章,因为它们完全是正交的概念。
跨站点请求伪造 (CSRF) 保护是任何使用 cookie 进行会话管理的应用程序的基本安全要求。攻击者可以诱骗受害者的浏览器发送伪造的请求,该请求将使用受害者的 cookie 来验证请求。 CSRF 保护检测并拒绝这些伪造的请求。不实施 CSRF 保护是一个严重的安全问题。
2FA 为登录增加了一个额外的步骤。如果其中一个因素(例如密码)被泄露,攻击者在没有第二个因素的情况下仍然无法登录。即使会话无法被 CSRF 攻击破坏,实施 2FA 也会增加用户帐户的安全性。
CSRF 保护绝不能替代 2FA。