如何在asp.net webform中防止CSRF攻击?
在ASP.NET Web Forms中防止跨站请求伪造(CSRF)攻击有几种方法:
- 使用AntiForgeryToken:在表单中添加一个隐藏的AntiForgeryToken字段,并在服务器端验证该字段。可以使用
<%= Html.AntiForgeryToken() %>在表单中生成防伪标记,并使用[ValidateAntiForgeryToken]属性在服务器端验证。 - 验证HTTP Referer:在服务器端验证请求的HTTP Referer头部,确保请求来自预期的来源。这种方法不是完全可靠,因为Referer头部可能被篡改或被某些浏览器禁用。
- 双重提交Cookie:在用户登录时,生成一个随机的令牌,并将其存储在用户的Cookie中。然后,在每个表单提交时,将该令牌作为隐藏字段一起发送,并在服务器端验证令牌的一致性。
- 使用验证码:在敏感操作(如更改密码或删除数据)之前,要求用户输入验证码。这可以防止自动化攻击。
- 限制HTTP方法:只允许POST请求执行敏感操作,并在服务器端验证请求的HTTP方法。
相关·内容
如何隐藏ASP.NET_SessionID cookie字符串或在asp.net webform中更改ASP.NET_SessionID名称?TKS!
浏览 0提问于2014-04-01得票数 0
回答已采纳
1回答
Checkmarx XSRF问题
、、、、
Checkmarx在我们的web应用程序中抱怨XSRF问题。我们使用的是框架4.0的ASP.NET web表单(而不是MVC)。
Checkmarx说:方法btnSubmit_Click在\ABC.aspx.vb的第1760行从来自元素文本的用户请求URL获得一个参数。此参数值在代码中流动,并最终用于修改数据库内容。应用程序不需要对请求重新进行用户身份验证。这可能会导致跨站点请求伪造(XSRF)。
对如何防止XSRF从ASP.NET Webform应用程序中有什么想法吗?
我们尝试了很多解决方案,但没有一个通过Checkmarx:以下是我们尝试过的一些东西:
或
或
我认为上述解决方案应
浏览 1提问于2019-03-06得票数 0
1回答
我正在测试一个web应用程序。CSRF在cookies和header中应用和发送,而不是以隐藏输入的形式发送。csrf令牌不会为每个请求更改,但会在会话期间更改。csrf令牌应该多久更改一次?它应该针对每个会话还是每个请求进行更改?应该由客户端还是服务器设置csrf令牌?应用csrf保护的最佳策略是什么?双重提交cookie?三次提交Cookie?或任何其他新策略?
浏览 2提问于2018-12-07得票数 0
我正在用Angular.js实现一个网站,它正在访问一个ASP.NET WebAPI后端。
Angular.js有一些内置的功能,可以帮助进行抗csrf保护。对于每个http请求,它将查找名为"XSRF-TOKEN“的cookie,并将其作为名为"X-XSRF-TOKEN”的标头提交。
这依赖于set服务器能够在对用户进行身份验证之后设置XSRF-TOKEN cookie,然后检查传入请求的X-XSRF-TOKEN标头。
声明:
要利用这一点,服务器需要在第一个HTTP GET请求时在名为XSRF-TOKEN的JavaScript可读会话cookie中设置一个令牌。对于后续的非
浏览 96提问于2013-03-22得票数 71
回答已采纳
3回答
防止跨站点请求伪造
、、、、
我了解,并在中找到了许多博客和文章来处理它,但是没有一个很好的链接,也没有一个有用的解决方案来处理asp.net web应用程序中的CSRF攻击。我在我的网站上运行了一个,它报告了跨站点请求伪造并显示了风险。
可以窃取或操作客户会话和cookie,这些会话和cookie可用于模拟合法用户,允许黑客查看或更改用户记录,并以该用户的身份执行事务。
我的问题是如何处理ASP.NET网络应用程序中的CSRF攻击?
浏览 3提问于2014-07-10得票数 1
回答已采纳
在ASP.NET MVC中,ValidateAntiForgeryTokenAttribute调用的验证逻辑允许匿名防伪造令牌,即没有任何特定于用户的信息的令牌,如IIdentity.Name或ClaimUid。
因此,如果没有使用声明,并且在登录后没有设置HttpContext.User (并不少见),系统的恶意用户可以使用恶意用户自己合法获得的防伪造令牌对任何其他用户发起CSRF攻击。
这似乎不可取。为什么允许匿名令牌?
浏览 4提问于2014-10-13得票数 3
回答已采纳
1回答
我听说没有专门的工具来测试和发现网站的CSRF漏洞。因此,从安全测试人员的角度来看,如何测试CSRF漏洞?
浏览 0提问于2014-09-18得票数 10
回答已采纳
目前,HP扫描我们的ASP.NET MVC代码,并向我展示一些CSRF问题。
我试图搜索一些关于OWASP的信息,并发现由于"More frameworks offering secure-by-default settings and some form of protections"的原因,CSRF已经从OWASP前10名中删除了。
那么,在ASP.NET MVC上对CSRF的保护是什么呢?
如果我们不在Controller上添加[ValidateAntiForgeryToken]属性,这是否意味着控制器仍然容易受到CSRF攻击?
浏览 1提问于2018-01-22得票数 3
回答已采纳
1回答
我在我的网站上默认使用csrf保护。网站上有一些表单,允许用户将数据发送到DB (如评论)。
正如你所知道的- csrf保护足以防止攻击和注射?
浏览 3提问于2016-01-15得票数 0
回答已采纳
1回答
在许多不同的产品中,CSRF令牌存储在会话中。
这意味着,如果会话已过期,则下一个表单提交将失败。
示例场景:打开登录表单,如果您还没有登录表单,会话将被隐式创建,并且CSRF令牌将持久化在会话中,并作为表单的隐藏字段放置。
然后等待会话过期(并收集垃圾),然后填写凭据并提交它。
现在,即使凭证是正确的,您也会看到丑陋的"CSRF令牌无效“(或类似的内容)形式的验证错误消息。
所以问题是:是否有一个安全的方法来改善这一流程?
PS:..。除了使用AJAX定期轮询某个端点之外,还可以保持会话的活力。
浏览 0提问于2015-05-10得票数 4
回答已采纳
1回答
根据OWASP如果在ASP.NET应用程序中包含SessionID,则可以在ViewState应用程序中防止SessionID。从该条中:
Viewstate可以用作CSRF防御,因为攻击者很难伪造有效的Viewstate。伪造一个有效的Viewstate并不是不可能的,因为攻击者可以获得或猜测参数值是可行的。但是,如果将当前会话ID添加到ViewState中,则使每个Viewstate都是唯一的,从而对CSRF免疫。
如果您正在使用加密的SessionID,是否需要包含ViewState?恶意用户如何生成有效的加密ViewState?
浏览 0提问于2014-04-21得票数 1
回答已采纳
在ASP.NET WebForms应用程序中:
将ViewStateUserKey设置为会话ID
保护覆盖无效OnInit(EventArgs e) { base.OnInit(e);if (User.Identity.IsAuthenticated) ViewStateUserKey = Session.SessionID;}
在派生基页上
仅使用POSTbacks执行任何敏感操作。
始终启用EnableViewStateMac
是否仍然需要使用随机令牌实现隐藏的表单字段值,以便在随后的请求中进行检查以减少CSRF攻击?
浏览 3提问于2011-03-31得票数 1
回答已采纳
1回答
在典型的会话运行场景中,攻击者欺骗受害者向他们已经登录的网站发送HTTP请求。例如,欺骗受害者单击链接触发CSRF攻击。浏览器在HTTP请求中包含会话cookie (以及该站点的所有其他cookie),因此攻击者可以执行授权执行的任何可能是恶意操作的受害者。
HTTPS对整个数据包进行加密,因此无法读取内容,包括标头和cookie。但是它是否保护用户免受会话攻击,还是浏览器仍然包含cookie并自动使用正确的加密?
浏览 0提问于2016-07-20得票数 0
首先,混淆来自于蛋糕文档的开发部分中的和。
来自
通过启用CSRF组件,您可以获得免受攻击的保护。CSRF或跨站点请求伪造是web应用程序中常见的漏洞。它允许攻击者捕获和重播先前的请求,有时还可以使用其他域上的图像标记或资源提交数据请求。
在第一行,它告诉CSRF保护免受攻击。然后在第三行,说它允许攻击者捕获和重播先前的请求和bla bla bla。
来自
确保您使用的是跨站点请求伪造。
那么,如果攻击者能够捕获/重播之前的请求,那么为什么在文档中推荐启用并在上确认呢?
如果是这样的话,又如何确保它的安全呢?
谢谢
浏览 4提问于2015-05-16得票数 0
回答已采纳
2回答
我的大部分GET请求都是由角触发的,这使得在标头中设置CSRF令牌变得很容易。这已经为POST请求提供了现成的服务,但是我想知道我是否也可以对GET请求使用CSRF保护。
我最初的直觉是在视图的get方法之前添加@csrf_protect,例如:
class ProjectView(View):
@csrf_protect
def get(self, request, *args, **kwargs):
...
但是,这会产生错误:
AttributeError at /project
'ProjectView' object has no at
浏览 4提问于2013-04-02得票数 1
回答已采纳
我读到了如何在ASP.NET MVC web应用程序中保护我的网站免受CSRF攻击。他们提到了两种办法,一种是通过:
使用<@Html.AntiForgeryToken()>和[ValidateAntiforgeryToken]进行令牌验证
使用HTTP引用验证,例如:
公共类IsPostedFromThisSiteAttribute : AuthorizeAttribute {公共覆盖无效OnAuthorize(AuthorizationContext filterContext) { if (filterContext.HttpContext = null) { if
浏览 1提问于2012-02-14得票数 9
回答已采纳
在一些旧的asp.net webform应用程序中,该字符串出现在所有标记上。
浏览 0提问于2010-10-14得票数 5
回答已采纳
1回答
到目前为止,我已经创建了gcp函数(使用Node.js开发),这些函数使用Oauth令牌保护,最重要的是,我想保护我的函数免受XSS和CSRF攻击。 我该怎么做呢?
浏览 11提问于2020-01-28得票数 0
我正在开发一个具有12+历史的Java应用程序。它遵循客户独特的框架,而不是任何行业标准框架!最近,为应用程序生成了一份应用程序的报告,根据该报告,该应用程序存在严重的安全问题,比如它容易出现CSRF、SQL注入等问题。
现在,我必须纯用Java实现一些东西,而不使用任何框架,并摆脱这种CSRF攻击。我做了一些google,并了解到我们必须在URL中添加一个临时令牌,然后验证它。这是唯一的办法。我找不到很多实用的解决办法。
有谁有处理这种情况的经验吗?请帮帮我!
浏览 1提问于2014-11-11得票数 0
回答已采纳
最近,我正在学习一些Web安全的基础知识,有些东西我无法理解。如何在SPA通信中使用反CSRF令牌?
据我所知,SPA通信中使用了反CSRF,具体如下;
浏览器向API发送登录请求。
API服务器生成一个令牌并将其发送回浏览器。
浏览器存储它,当浏览器发出下一个请求时,与be一起发送令牌。
API可以确保请求来自真正的前端,因为它包含令牌。
我脑海中突然浮现出一个问题--它怎么能阻止CSRF呢?如果令牌存储在cookie中,它将在请求发生时自动发送到API,就像通常的会话cookie一样。即使它存储在其他存储中(比如会话存储或本地存储),也可以使用JavaScript访
浏览 5提问于2022-09-29得票数 2
回答已采纳
2回答
承载令牌与CSRF
、、、
我们正在建立三个不同的应用MVC应用程序,API,SPA (非角)与ASP.NET核心。此应用程序中的所有操作仅供授权用户使用。这就是为什么我们用IdentityServer来保护他们。
我们使用cookie来存储承载令牌的值。我知道cookie的值会自动发送到服务器。但是,由于应该将其作为授权头添加,这不是由浏览器自动完成的。
这会减少CSRF攻击的可能性吗?或者CSRF仍然可以使用无记名令牌,我们是否需要添加CSRF令牌?
浏览 9提问于2017-05-26得票数 6
回答已采纳
1回答
在防止CSRF攻击时,我应该采取以下步骤:
用户登录、设置会话cookie和生成CSRF令牌。
用户提交表单(带有令牌),它应该与会话中的令牌匹配。
但是,当攻击者使用iframe时,它还会发送会话cookie,这将导致相同的CSRF令牌,iframe中的表单也将包含令牌。所以攻击者可以进入。
我在这里错过了什么?
浏览 2提问于2016-07-10得票数 8
我有asp.net webform应用程序。我注意到,如果未登录,.net框架会自动包含返回url的名称。
我想验证returnURL页面,这样就不会有外部url (由中间人攻击创建)。有没有人可以建议一下,在asp.net 3.5中,这是否可以很容易地实现?
谢谢
浏览 2提问于2012-03-21得票数 0
通常,为页面服务的web服务器在HTML中包含CSRF令牌。然而,当我使用跨源REST时,没有可能包含CSRF令牌的“初始”页面。
我的想法是在用户登录后使用CSRF令牌进行响应,但我不完全确定这是否可以防止CSRF攻击?
浏览 0提问于2021-10-29得票数 1
我注意到表单提交中使用的令牌来防止CSRF攻击,尽管在2016年,很多人正在迁移到JS前端& restful后端。我很困惑,用这种方法不需要CSRF令牌了吗?
我认为CSRF是表单提交的一个问题,因为所有的会话数据都是用每一个请求发送的。但是AJAX是不同的吗?也就是说,没有发送所有cookie(会话数据)?
您可以假设我的API是由CORS (通过TLS)保护的,也就是说,访问控制-允许-原产地只为我期望从其收集的数据的站点设置。
所以我要问的是: CORS & AJAX是否调用了避免在我的前端代码中生成令牌的方法?
浏览 0提问于2016-03-03得票数 2
回答已采纳
我正在使用Codeigniter,并通过它的config.php文件启用了CSRF ...
$config['csrf_protection'] = TRUE;
$config['csrf_token_name'] = 'csrf_token_name';
$config['csrf_cookie_name'] = 'csrf_cookie_name';
然后,在我的ajax请求中,我将获得cookie name
var cct = $.cookie('csrf_cookie_name');
在pa
浏览 0提问于2012-03-04得票数 4
回答已采纳
是否有一个html属性可以让我的模型的文本字段中的asp.net标签不受限制地进行验证?
就像这样
[NoHtmlHere]
public string MyTextField {get; set;}
浏览 2提问于2015-02-02得票数 0
为什么生成的CSRF保护令牌不像建议的那样通过会话保存和使用?目前在CI2中,CSRF保护机制(在安全类中)是这样的:
1.在_csrf_set_hash()函数中为CSRF标记生成唯一值:
$this->csrf_hash = md5(uniqid(rand(), TRUE));
2.将该标记插入表单隐藏字段(使用form_open助手)
3.用户提交表单,服务器通过POST获取令牌。CI在输入类的"_sanitize_globals()“函数中执行令牌验证:
$this->security->csrf_verify();
4.安全类的"csrf_verif
浏览 0提问于2012-01-09得票数 4
回答已采纳
我刚在看
Lax: cookie不是在跨站点请求(如加载图像或帧的调用)上发送的,而是在用户从外部站点导航到源站点时发送的(例如,如果遵循链接)。如果未指定SameSite属性,则这是默认行为。
如果这是默认情况,那么这不意味着CSRF攻击就不会发生吗?如果有人在后台加载运行Javascript的恶意网站,向受害者当前登录的网站发出简单的POST请求,那么默认行为是cookie不会被发送,对吗?
另外,为什么有人会选择严格而不是松懈呢?为什么要阻止用户的浏览器在导航到原版网站时将cookie发送到原版网站,这是严格的操作吗?
浏览 1提问于2021-06-28得票数 0
回答已采纳
我在asp.net网页中使用我的asp.net代码有困难。
<%@ Page Language="vb" AutoEventWireup="false" MasterPageFile="~/Site.Master" CodeBehind="WebForm1.aspx.vb" Inherits="Banking_Application.WebForm1" CodeFile="~/WebForm1.aspx.vb" %>
类名是WebForm1。我已经在一个单独的文件中编写了代码,我想在页
浏览 3提问于2014-07-18得票数 0
回答已采纳
在使用asp.net webform或.Net核心网站编写的项目中创建线程并将其添加到服务器时,线程会在一段时间后停止运行,没有任何原因或异常。 Task.Factory.StartNew(async () =>
{
//...
}, _cancellationToken, TaskCreationOptions.LongRunning, TaskScheduler.Current); 我需要使用一个任务作为无休止的日程安排;我如何在用asp.net webform或.Net Core Web编写的项目上这样做? 这个问题只存在于web项目中,例如在控制台项目中,它可以正常工作
浏览 11提问于2021-04-13得票数 0
回答已采纳
在40:08分钟的会议上,休伯特提到了防止CSRF攻击的最佳方法是做以下工作:
生成一个随机的id服务器端-让我们称之为CSRF id。
将此id添加到jwt cookie中。还添加一个带有id的响应头(例如,csrfId: xxx)
让客户端将id保存到本地存储。
在每个请求中,客户端都应该附加一个带有这个id的头。
对于每个请求,服务器应该验证接收到的cookie中的id是否与接收到的标头中的id匹配。
我的问题是:如何阻止CSRF攻击者手动读取cookie,获取ID,然后将其添加到攻击请求中?
另外,本地存储不会使ID易受XSS + CSRF组合攻击的影响吗?
浏览 10提问于2022-08-27得票数 2
2回答
最近,大多数浏览器增加了对SameSite cookie属性的支持,以防止CSRF攻击:https://www.owasp.org/index.php/SameSite。
如果支持,我们是否应该实现同步器令牌模式来防止CSRF攻击?https://www.owasp.org/index.php/Cross-Site_请求_伪造_(CSRF)_预防_作弊_Sheet#Synchronizer_令牌_模式
SameSite是否能防止至少与同步器令牌模式相同的CSRF攻击?
我知道SameSite选项是strict和lax,我们可能会使用lax值。
添加的
如果我们只在支持设置( SameSite
浏览 0提问于2019-01-13得票数 2
回答已采纳
我有一个为SPA构建的JSON API,它只接受带有"Accept: application/json“头的请求。因此,在浏览器中提交以下表单将导致“不可接受”。HTTP错误。
<form method="POST" action="https://api.example.domain/resource">
<input type="password" name="password" value="CSRF">
<input type="submit&#
浏览 13提问于2017-07-20得票数 1
回答已采纳
3回答
为了防止CSRF攻击,创建一个加密的cookie是否可以防止CSRF攻击?此外,还要对照目标来源检查推荐人。我不能更改1000 s的页面以将令牌嵌入到每个提交中,而且我也没有会话状态。
浏览 0提问于2016-11-15得票数 1
1回答
我想我误解了OAuth OpenID连接规范,原因如下:
我试着实现“与苹果签约”。您可以选择使用弹出或重定向到苹果页面,我想保持简单,所以我使用重定向选项。点击“与苹果一起登录”按钮,我将重定向到苹果页面中的state,以防止CSRF攻击。
成功身份验证后,苹果通过使用state、code和id_token值向该url发出POST请求,“重定向”到指定的重定向URL。
现在要做的是:当POST请求来自不同的会话时,我应该如何验证状态?我发送一个CSRF令牌作为state,用户点击“与苹果登录”按钮,但来自苹果的响应是一个不同的会话-有一个不同的CSRF令牌。
我应该在这种流中验证状态吗?我觉
浏览 5提问于2022-09-06得票数 0
我正在努力解决我的反应性/凤凰应用程序中的CSRF漏洞,在我看来我的应用程序是安全的.但我并不是这些问题的专家,我想求助于社区,看看我是否忽略了一些东西,或者说我太天真了。
菲尼克斯是一个纯粹的API,独立于React运行,所以我要处理CORS -允许起源的白名单设置在router.ex中
pipeline :api do
plug CORSPlug, [origin: "localhost:3000"]
plug :accepts, ["json"]
plug Guardian.Plug.VerifyHeader, realm: "Bear
浏览 0提问于2018-02-01得票数 3
回答已采纳
1回答
我想知道在保护J2EE应用程序免受CSRF攻击方面有哪些库。
我使用过OWASP的CSRF Guard。我试着搜索,但找不到任何其他的产品质量库。还有其他的吗?
顺便说一句,我正在构建的应用程序使用的是Grails框架,所以如果有Grail的CSRF插件,我也想知道。
浏览 2提问于2011-07-19得票数 1
鉴于假设情况:
一个用户登录他的银行网站
服务器返回一个只包含用户id、加密的Http-专用cookie。
对于每个请求(例如在传输资金时),服务器对id进行解密和检查。
在任何表单上都不会生成CSRF令牌,并且请求验证是基于加密的id的。
在这种情况下,CSRF攻击可能吗?如果是的话,如何运作呢?
浏览 0提问于2016-11-07得票数 2
我混淆了ASP.NET请求验证和服务器端验证。如果我们将ValidateRequest=设置为“false”,如下所示。
<%@ Language="C#" ValidateRequest="false" %>
<html>
<script runat="server">
void btnSubmit_Click(Object sender, EventArgs e)
{
// If ValidateRequest is false, then 'hello' is
浏览 0提问于2012-08-13得票数 0
回答已采纳
我有AJAX代码,它向Django 1.6.4应用程序发出POST请求。视图通过django.middleware.csrf.CsrfViewMiddleware启用了CSRF保护。如果我没有传递cookie,但确实传递了HTTP_X_CSRFTOKEN,则它将失败。
我正在查看django.middleware.csrf.CsrfViewMiddleware的代码,我看到在第161行中,它检查从cookie中获得它后是否有if csrf_token is None:。如果是零,它就会回来。直到之后,它才会检查csrfmiddlewaretoken参数和HTTP_X_CSRFTOKEN请求头。
浏览 7提问于2014-07-16得票数 3
我正在使用"Laravel“学习Laravel。在本书的“表单安全性”一节中,它讨论了在使用Form::Open()方法生成表单输入时,Laravel如何生成秘密隐藏代码以防止"CSRF -跨站点请求伪造“。
我尝试了一个示例来访问将使用外部表单处理表单的路由。首先,我没有“之前,”“=>”csrf“过滤器附加到路由,我得到了我期待的答案,即外部形式能够访问路由。
对于第二个测试,我在“=>”csrf“过滤器”之前向路由添加了“”。当我单击外部表单的submit按钮时,页面持续加载了很长时间,并且没有显示任何结果就放弃了,页面是空白的。这意味着“”之前的“=>
浏览 2提问于2015-07-15得票数 2
回答已采纳
1回答
我正在使用ASP.NET 4WCF服务进行一些数据事务处理。为了防止CSRF (跨站点请求伪造),我想在输出中添加一些数据。对如何做到这一点有什么建议吗?
[ServiceContract]
[AspNetCompatibilityRequirements(RequirementsMode = AspNetCompatibilityRequirementsMode.Allowed)]
[ServiceBehavior(InstanceContextMode = InstanceContextMode.PerCall)]
public class TestService : ServiceBas
浏览 1提问于2011-12-12得票数 0
在asp.net应用程序中,我得到的是自定义的javascript事件,这是我实际上不想要的。我有一个名为login的按钮,因为这个自动命名的javascript事件,我的客户无法登录,这是自动生成的,我真的不知道为什么会发生这种情况。
Asp.net按钮在custome用户控制.ascx文件中
<asp:Button ID="cmdLogin" runat="server" Text="Login" CssClass="Footer_button"
CommandName=
浏览 2提问于2013-10-24得票数 1
回答已采纳
我有一个web应用程序(Spring MVC),并对控制器中的每个参数进行输入数据验证。不存在的是检查接受的参数映射大小。即当控制器期望10个参数而请求具有11个或9个参数时。
我被告知,参数大小是重要的检查,以防止任何攻击或注入,即安全pov,特别是参数调和。这在ZAP扫描期间突出显示,其中ZAP将新参数查询添加到没有请求参数的URL。
在我看来,除非有商业原因,否则可以跳过检查大小。应用程序将简单地忽略额外的参数,如果有任何小于可接受的参数,则输入数据验证将注意it.The大小检查是否为安全性增加了合理的好处。
我的推理是,开发人员可以只编写10个参数,但底层框架可以添加更多参数。For-
浏览 18提问于2018-08-30得票数 0
回答已采纳
我正在为Django开发一个移动应用程序的后端,其中用户注册使用POST方法发送用户数据。因为Django将CSRF安全性作为中间件提供。这里我的问题是如果我有一个前端,我可以通过jinja代码作为{% csrf_token %}启用CSRF令牌,但是因为它是后端,以及如何解决这个问题
浏览 3提问于2020-06-04得票数 2
回答已采纳
2回答
我在我的nodejs服务器上通过以下方式实现了CSRF攻击预防-
登录用户接收CSRF令牌和cookie (存储在cookie中的基于JWT的令牌)。CSRF令牌是使用$.ajaxSetup从客户端发送的所有未来请求头的一部分。
每当用户发出请求(GET或POST)时,我将客户机发送的cookie和csrf令牌(在标头中)与服务器上存储的标记进行比较,应用程序可以正常工作。
但是,当登录用户打开新的选项卡或新的浏览器窗口时,客户端有cookie,但请求头中没有CSRF令牌。因此,服务器将此视为CSRF攻击,并阻止请求!
我的问题是--在不损害CSRF安全性的情况下,如何让同一个会话在多个浏览器
浏览 8提问于2016-02-07得票数 3
回答已采纳
我最近读过几篇关于如何在本地或会话存储中存储JWT的文章,它们本质上是不安全的。缓解显然是实现一种“会话ID模式”,即创建一个会话ID,它存储在一个签名的HttpOnly cookie中,并且还包括在JWT中,在这种情况下,可以比较服务器端,以确保令牌对应于正确的会话。
根据我对OpenID连接规范的有限理解,会话模式似乎是规范的一部分(作为state参数),所以我假设使用兼容的实现应该足以在这种特定的上下文中保护CSRF/XSS。
这是正确的假设吗?OpenID连接规范是否包括针对JWT的CSRF和XSS保护?
浏览 0提问于2020-12-29得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
