关于csrf防御
发布于 6 年前 作者 IEfucker 2562 次浏览 来自 问答

最近在了解csrf这块,看了半天觉得没有很好的完善的方案去避免这个漏洞

首先,通过Cookie的方式,即便是httponly的,js读取不到,该域名登录获取权限(服务器set-cookie)后,通过配置伪造域名,host或者代理,是不是一样可以利用Cookie实现攻击; 其次使用Token方式, 1.对于一次性使用的,a.网页回传前在html渲染注入token,b.或者api利用上一步接口返回token作为下一步接口的参数,前提是a.网页获取和b.第一步接口验证假设安全,能够返回token给用户的情况下,js一样可以读到这个token值(尤其是a),伪造一个request; 2.token本地存储(Cookie,Storage)通过有效期控制的情况,这种能够通过js读写,一旦js程序被破解,还是能发起攻击。

了解eggjs,关于这块说的不是很清楚,token存储在session什么意思,https://eggjs.org/zh-cn/core/security.html#session-vs-cookie-存储

不知道这块理解是不是有错误,请了解csrf和eggjs的帮忙解惑。

1 回复

我理解有误,csrf关注的网站与网站间的泄露窃取,而不是开发者或者hacker去模拟挟持。

请无视这个问题

回到顶部