注销请求需要 XSRF/CSRF 令牌吗?
Do you need XSRF/CSRF token for a logoff request?
如果未使用 XSRF/CSRF 令牌验证注销请求,安全漏洞会是什么?
不要将反 CSRF 令牌视为对个人实施的机制 endpoints/requests。理想情况下,这种机制作为您正在开发的框架的重要组成部分。
Anti-CSRF 可能 在注销时显得多余link,这不是我在这里担心的。让我担心的是设计一个允许,或者更确切地说,不执行反 CSRF 机制的系统。
在这种情况下,CSRF 可能看起来是良性的。但是,当注销 link 容易受到 XSS 攻击时会发生什么?突然之间,Anti-CSRF 令牌不再在那里保护您。
始终练习 Defence in Depth,因为您的安全性应该分层包装,反 CSRF 就是其中之一。
可以与 OWASP A10 组合,例如攻击者还提供了一个 return URL 指向不好的地方,例如一个假 "sign on again" 页面,他可以在其中获取您的密码。
如果未使用 XSRF/CSRF 令牌验证注销请求,安全漏洞会是什么?
不要将反 CSRF 令牌视为对个人实施的机制 endpoints/requests。理想情况下,这种机制作为您正在开发的框架的重要组成部分。
Anti-CSRF 可能 在注销时显得多余link,这不是我在这里担心的。让我担心的是设计一个允许,或者更确切地说,不执行反 CSRF 机制的系统。
在这种情况下,CSRF 可能看起来是良性的。但是,当注销 link 容易受到 XSS 攻击时会发生什么?突然之间,Anti-CSRF 令牌不再在那里保护您。
始终练习 Defence in Depth,因为您的安全性应该分层包装,反 CSRF 就是其中之一。
可以与 OWASP A10 组合,例如攻击者还提供了一个 return URL 指向不好的地方,例如一个假 "sign on again" 页面,他可以在其中获取您的密码。