大格们,token的设置和检验是否已经能完成对csrf攻击的防护呀?裘解裘解大锅们
1条回答 默认 最新
天`南 2023-05-27 22:41关注Token的设置和验证是常见的CSRF(Cross-Site Request Forgery)攻击防护机制之一,但仅仅依靠Token并不能完全防护CSRF攻击。下面是对Token设置和验证的简要说明以及其他CSRF防护措施的介绍:
Token的设置:在Web应用中,服务器为每个用户生成一个唯一的Token,并将其嵌入到用户的会话中或者作为隐藏字段添加到表单中。这个Token通常是基于随机数生成的,用于识别用户的身份和请求的合法性。
Token的验证:当用户提交请求时,服务器会验证请求中的Token是否与用户会话中的Token一致。如果两者不一致,服务器将拒绝该请求,因为可能存在CSRF攻击。
虽然Token的设置和验证可以增加CSRF攻击的难度,但仅仅依靠Token并不能完全防护CSRF攻击。攻击者可以通过某些方式获取或伪造合法的Token,从而绕过验证。
本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
- 2017-07-14 05:07回答 2 已采纳 浏览器会依据加载的域名附带上对应域名cookie,又不是发送b站的cookie。 就是如果用户在a站登录了生成了授权的cookie之类的,然后访问b站,b站故意构造请求a站的请求,如删除操作之类
- 2022-05-25 10:38回答 2 已采纳 前端放请求头,后端校验
- 2022-08-16 09:41回答 2 已采纳 放到请求拦截里 。你这样 只是post的加上了类似于这样https://www.axios-http.cn/docs/interceptors axios.interceptors.request.u
- 2024-09-08 20:33J老熊的博客 CSRF攻击是指黑客通过欺骗用户在不知情的情况下向受信任的服务器发送请求,从而执行用户并未授权的操作。由于浏览器的同源策略,浏览器会自动携带当前登录用户的身份凭证(如Cookie),导致服务器误以为请求是合法...
- 2018-06-29 05:37回答 1 已采纳 I've manually added a hidden field with the {{csrf_token()}} as the value and it now works. It see
- 2022-06-02 10:45回答 4 已采纳 // 保存在sessionStrage里面。 sessionStrage.setItem('token',r.data) // 在你的index.html页面取token sessionStrage.
- 2022-08-09 12:22回答 3 已采纳 将main.js文件引用到每个html页面就好了。
- 2022-04-16 00:44zh阿飞的博客 CSRF(Cross Site Request Forger)跨站请求伪造详细讲解
- 2020-06-15 01:01回答 1 已采纳 https://www.cnblogs.com/saolv/p/10995646.html
- 2022-05-18 10:37回答 1 已采纳 解答:第一:两种token都要给前端第二:两种token,存在内存,比如redis第三:当token失效过期时,需要refresh_token刷新token,此时refresh_token没有过期,过
- 2020-09-12 11:02回答 4 已采纳 Authorization相当于自定义header 需要服务器设置 跨域 Access-Control-Allow-Origin:* Access-Control-Allow-Methods
- 2024-07-05 10:00程序员桔子的博客 forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的...
- 2022-10-21 20:24回答 1 已采纳 一般是放在redis中,redis中过期后,前天接口请求到后台,在redis中找不到数据就会标示过期,前台再配合一些代码就能做自动退出操作。
- 2024-05-22 22:09Micrle_007的博客 禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
- 2024-01-02 23:23程序员小强_的博客 Token是一个比较有效的CSRF防护方法,只要页面没有XSS漏洞泄露Token,那么接口的CSRF攻击就无法成功。但是此方法的实现比较复杂,需要给每一个页面都写入Token(前端无法使用纯静态页面),每一个Form及Ajax请求都...
- 没有解决我的问题, 去提问
问题事件
系统已结题
6月7日
已采纳回答
5月30日-
创建了问题
5月27日
悬赏问题
- ¥15 如何让企业微信机器人实现消息汇总整合
- ¥50 关于#ui#的问题:做yolov8的ui界面出现的问题
- ¥15 如何用Python爬取各高校教师公开的教育和工作经历
- ¥15 TLE9879QXA40 电机驱动
- ¥20 对于工程问题的非线性数学模型进行线性化
- ¥15 Mirare PLUS 进行密钥认证?(详解)
- ¥15 物体双站RCS和其组成阵列后的双站RCS关系验证
- ¥20 想用ollama做一个自己的AI数据库
- ¥15 关于qualoth编辑及缝合服装领子的问题解决方案探寻
- ¥15 请问怎么才能复现这样的图呀