CSRF 攻击黑名单
Blacklist for CSRF attack
我想为 CSRF 攻击创建一个黑名单。例如,在SQL injection中,可以将select、from、where、drop等关键字设置到黑名单中。我想知道是否可以创建 CSRF 攻击黑名单?
不是真的...CSRF 是由具有真实 session 的浏览器发起的对真实资源的请求。以某种方式阻止它意味着阻止合法请求。唯一的方法是一些 CSRF 令牌和检查网络应用程序中的 origin/referer header
除此之外,不可能像 daniel f 那样为 CSRF 实施黑名单。注意,因为根本没有独特的输入,黑名单过滤器通常被认为是一个非常弱的控制。它们通常不足以抵御 SQL 注入,这应该是黑名单中最容易防范的一种,因为语言严格且关键字相对较少。
OWASP 关于 SQL injection 的声明:"As is almost always the case, blacklisting is riddled with loopholes that make it ineffective at preventing SQL injection attacks." 这同样适用于任何其他黑名单。
如here所述,有多种防止 CSRF 的方法,但黑名单输入不是其中之一。
我想为 CSRF 攻击创建一个黑名单。例如,在SQL injection中,可以将select、from、where、drop等关键字设置到黑名单中。我想知道是否可以创建 CSRF 攻击黑名单?
不是真的...CSRF 是由具有真实 session 的浏览器发起的对真实资源的请求。以某种方式阻止它意味着阻止合法请求。唯一的方法是一些 CSRF 令牌和检查网络应用程序中的 origin/referer header
除此之外,不可能像 daniel f 那样为 CSRF 实施黑名单。注意,因为根本没有独特的输入,黑名单过滤器通常被认为是一个非常弱的控制。它们通常不足以抵御 SQL 注入,这应该是黑名单中最容易防范的一种,因为语言严格且关键字相对较少。
OWASP 关于 SQL injection 的声明:"As is almost always the case, blacklisting is riddled with loopholes that make it ineffective at preventing SQL injection attacks." 这同样适用于任何其他黑名单。
如here所述,有多种防止 CSRF 的方法,但黑名单输入不是其中之一。