csrf_token 显示为 URL 参数
csrf_token displayed as a URL parameter
网站可以将 csrf_token 显示为 URL 参数吗?我有一种感觉,我不应该看到它,但我不太确定。如果有人可以解决这个问题,我将不胜感激!
CSRF Token的典型特征如下:
-每个用户会话唯一
- 大随机值
- 由加密安全随机数生成器生成
GET 请求中的 CSRF 令牌可能会在多个位置泄露:浏览器历史记录、HTTP 日志文件、记录 HTTP 请求第一行的网络设备,以及如果受保护站点链接到外部网站,因此不推荐。
不,这是不可接受的。
在 URL 中传递令牌通常不是可接受的解决方案。其实是
在某些情况下被视为 漏洞。
如果网站不在 HTTPS 下 运行 怎么办?
如果在 HTTPS 下是 运行 但服务器上未启用 HSTS 怎么办?然后 SSL-Stripping 技术和其他 MITM 攻击是可能的。
即使在 HTTPS 下 运行 并且启用 HSTS 也无法解决问题。
令牌可能暴露于:
- 推荐人Header
- 网络日志
- 共享系统
- 浏览器历史
- 浏览器缓存
更多信息请参考:
网站可以将 csrf_token 显示为 URL 参数吗?我有一种感觉,我不应该看到它,但我不太确定。如果有人可以解决这个问题,我将不胜感激!
CSRF Token的典型特征如下:
-每个用户会话唯一 - 大随机值 - 由加密安全随机数生成器生成
GET 请求中的 CSRF 令牌可能会在多个位置泄露:浏览器历史记录、HTTP 日志文件、记录 HTTP 请求第一行的网络设备,以及如果受保护站点链接到外部网站,因此不推荐。
不,这是不可接受的。
在 URL 中传递令牌通常不是可接受的解决方案。其实是 在某些情况下被视为 漏洞。
如果网站不在 HTTPS 下 运行 怎么办?
如果在 HTTPS 下是 运行 但服务器上未启用 HSTS 怎么办?然后 SSL-Stripping 技术和其他 MITM 攻击是可能的。
即使在 HTTPS 下 运行 并且启用 HSTS 也无法解决问题。
令牌可能暴露于:
- 推荐人Header
- 网络日志
- 共享系统
- 浏览器历史
- 浏览器缓存
更多信息请参考: