Как предотвратить атаку межсайтовых запросов (XSRF / CSRF) с помощью перезаписи URL?

Question

CSRF / XSRF можно предотвратить с помощью ряда методов.

Одним из методов является использование токена, уникального для клиентского сеанса, с каждым запросом, отправляемым клиентом на сервер; который проверяется на стороне сервера. Если токен запроса и токен на стороне сервера совпадают, запросу разрешается входить в приложение, а если нет, ему не разрешается входить. Таким образом, атака CSRF будет обнаружена.

Хотя идея метода очень ясна для меня, я не уверен в том, как перезапись URL может помочь предотвратить атаку CSRF? Могут ли гуру безопасности пролить свет на это?

Answer 1

Вот краткая история , в которой говорится о перезаписи URL. Там написано:

Мы могли бы снизить значительную часть риска этих уязвимостей, часто меняя наши URL-адреса - не раз в 200 лет, а раз в 10 минут. Злоумышленники больше не смогут эксплуатировать уязвимости приложений путем массовой отправки по электронной почте отравленных гиперссылок, поскольку к тому времени, когда сообщения достигают своих предполагаемых жертв, эти ссылки становятся недействительными.

То, что я предполагаю (и статья соглашается), является одним из аспектов общего подхода к предотвращению этой проблемы. У Microsoft также есть хорошая статья , в которой об этом говорится.