CSRF 攻击黑名单
Blacklist for CSRF attack
我想为 CSRF
攻击创建一个黑名单。例如,在SQL injection
中,可以将select
、from
、where
、drop
等关键字设置到黑名单中。我想知道是否可以创建 CSRF
攻击黑名单?
不是真的...CSRF 是由具有真实 session 的浏览器发起的对真实资源的请求。以某种方式阻止它意味着阻止合法请求。唯一的方法是一些 CSRF 令牌和检查网络应用程序中的 origin/referer header
除此之外,不可能像 daniel f 那样为 CSRF 实施黑名单。注意,因为根本没有独特的输入,黑名单过滤器通常被认为是一个非常弱的控制。它们通常不足以抵御 SQL 注入,这应该是黑名单中最容易防范的一种,因为语言严格且关键字相对较少。
OWASP 关于 SQL injection 的声明:"As is almost always the case, blacklisting is riddled with loopholes that make it ineffective at preventing SQL injection attacks." 这同样适用于任何其他黑名单。
如here所述,有多种防止 CSRF 的方法,但黑名单输入不是其中之一。
我想为 CSRF
攻击创建一个黑名单。例如,在SQL injection
中,可以将select
、from
、where
、drop
等关键字设置到黑名单中。我想知道是否可以创建 CSRF
攻击黑名单?
不是真的...CSRF 是由具有真实 session 的浏览器发起的对真实资源的请求。以某种方式阻止它意味着阻止合法请求。唯一的方法是一些 CSRF 令牌和检查网络应用程序中的 origin/referer header
除此之外,不可能像 daniel f 那样为 CSRF 实施黑名单。注意,因为根本没有独特的输入,黑名单过滤器通常被认为是一个非常弱的控制。它们通常不足以抵御 SQL 注入,这应该是黑名单中最容易防范的一种,因为语言严格且关键字相对较少。
OWASP 关于 SQL injection 的声明:"As is almost always the case, blacklisting is riddled with loopholes that make it ineffective at preventing SQL injection attacks." 这同样适用于任何其他黑名单。
如here所述,有多种防止 CSRF 的方法,但黑名单输入不是其中之一。