自定义 HTTP Header 或 cookie?自定义 authentication/authorization 对 CSRF 有何帮助?
Custom HTTP Header or cookies? how custom authentication/authorization helps in CSRF?
如果有人可以帮助我了解自定义 HTTP 授权 header 如何帮助保护 CSRF 攻击。
如果我错了也请纠正我它是否也可以防止使用 fiddler 进行重放攻击?
提前感谢您的帮助
当身份验证基于 cookie 时,客户端发出的每个请求都将被身份验证。无论是 "good" - 由应用程序设计,还是 "bad - as a result of CSRF attack. Browser will always blindly add cookie to every request. When authentication is based, for instance, on bearer token attached to "Authenticate" header,客户端都能够决定在哪种情况下发送经过身份验证的请求以及在哪种情况下保持匿名。
然而,这并不意味着您不能使用 Fiddler 等工具拦截请求,从 HTTP header 获取令牌并从同一工具执行经过身份验证的请求。
如果有人可以帮助我了解自定义 HTTP 授权 header 如何帮助保护 CSRF 攻击。
如果我错了也请纠正我它是否也可以防止使用 fiddler 进行重放攻击?
提前感谢您的帮助
当身份验证基于 cookie 时,客户端发出的每个请求都将被身份验证。无论是 "good" - 由应用程序设计,还是 "bad - as a result of CSRF attack. Browser will always blindly add cookie to every request. When authentication is based, for instance, on bearer token attached to "Authenticate" header,客户端都能够决定在哪种情况下发送经过身份验证的请求以及在哪种情况下保持匿名。
然而,这并不意味着您不能使用 Fiddler 等工具拦截请求,从 HTTP header 获取令牌并从同一工具执行经过身份验证的请求。