Question

Таким образом, «типичный» метод защиты CSRF хранит одноразовый номер в сеансе и в скрытом элементе формы. Может ли атакующий веб-сайт сначала очистить целевую форму, используя сеанс жертвы, получив скрытый токен формы, а затем отправить токен в своем собственном элементе формы? Проверяя это сам, это подтверждает. Мне просто любопытно, может ли бот почистить страницу и получить одноразовый номер.

Если это возможно, то как вы можете защитить себя от атак такого типа?

Gabi Purcaru · Answer 1 · 10 июня 2011

Если злоумышленник может почистить страницу жертвы, ему не нужно будет использовать CSRF, потому что он может в основном делать что-либо с данными пользователя.На самом деле это называется перехват сеанса , и есть другие способы защиты пользователя от него .

Достаточно ли сравнивать значение сеанса и скрытую форму, чтобы предотвратить CSRF?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Достаточно ли сравнивать значение сеанса и скрытую форму, чтобы предотвратить CSRF?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы