csrf_token 显示为 URL 参数

csrf_token displayed as a URL parameter

网站可以将 csrf_token 显示为 URL 参数吗?我有一种感觉,我不应该看到它,但我不太确定。如果有人可以解决这个问题,我将不胜感激!

CSRF Token的典型特征如下:

-每个用户会话唯一 - 大随机值 - 由加密安全随机数生成器生成

GET 请求中的 CSRF 令牌可能会在多个位置泄露:浏览器历史记录、HTTP 日志文件、记录 HTTP 请求第一行的网络设备,以及如果受保护站点链接到外部网站,因此不推荐。

不,这是不可接受的。

在 URL 中传递令牌通常不是可接受的解决方案。其实是 在某些情况下被视为 漏洞

如果网站不在 HTTPS 下 运行 怎么办?

如果在 HTTPS 下是 运行 但服务器上未启用 HSTS 怎么办?然后 SSL-Stripping 技术和其他 MITM 攻击是可能的。

即使在 HTTPS 下 运行 并且启用 HSTS 也无法解决问题。

令牌可能暴露于:

  • 推荐人Header
  • 网络日志
  • 共享系统
  • 浏览器历史
  • 浏览器缓存

更多信息请参考:

Information exposure through query strings in url

OWASP CSRF Cheatsheet