0
根據this article,驗證jQuery發送的AJAX請求的X-Requested-With標頭就足夠了。所以在這種情況下,沒有必要實現令牌?如果我使用jQuery發送AJAX請求並僅驗證它們是否具有X-Requested-With,那麼應用是否足以抵禦CSRF攻擊?
如果是,那麼在哪裏定義跨瀏覽器請求是不允許的?
在此先感謝。
A
回答
1
文章本身說,這種方法是不夠的:
警告
防止在這個崗位 描述CSRF攻擊的方法,現在被認爲是不夠的。對這篇文章的評論鏈接到 關於規避它的攻擊的更多細節。
相關問題
- 1. GWT RPC - 它是否足以抵禦CSRF?
- 2. Windows Azure是否可以輕鬆抵禦拒絕服務攻擊?
- 3. 是否有任何抵禦暴力攻擊的安全措施?
- 4. HTTPS是否可以防止CSRF攻擊?
- 5. CSRF攻擊是否適用於API?
- 6. 這個基於LINQ的搜索是否可以抵禦SQL注入/ XSS攻擊?
- 7. 是否有任何Maven插件發送HTTP請求並驗證結果?
- 8. 是否可以使用webHttpBinding對WCF服務執行CSRF攻擊?
- 9. PHP在發送請求之前是否驗證WSDL請求?
- 10. 無需驗證碼即可抵禦DoS攻擊
- 11. 我們是否需要針對每個POST請求進行CSRF驗證?
- 12. CSRF驗證失敗。請求中止。當我發送POST請求
- 13. ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻擊?
- 14. 攻擊者是否能夠嗅探GET請求字符串(如果使用https)
- 15. 我們是否聲明'jQuery或者我們只是使用它?
- 16. 如何檢查是否已經使用Jquery發送了ajax請求?
- 17. 如何使用jQuery檢查ajax請求是否完成並再次發送新請求?
- 18. Ajax請求是否保證按發送順序返回?
- 19. 我應該使用HTTP引用者驗證還是令牌驗證來防止CSRF攻擊?
- 20. 未經認證的網站是否容易受CSRF攻擊?
- 21. 即使它們沒有正式發佈,我是否應該使用jQuery模板?
- 22. 是否可以訪問cookie並且沒有在請求頭中發送它?
- 23. 是否可以區分「良好」的http請求和DoS攻擊?
- 24. AWS Cognito用戶羣如何抵禦暴力破解攻擊
- 25. 是否可以使用wiselinks發送JavaScript請求?
- 26. 是否可以使用RestSharp發送HEAD請求?
- 27. 您是否可以使用curl向wordpress發送登錄請求?
- 28. 如何驗證我的Java代碼是否實際發送了POST請求?
- 29. 驗證LDAP用戶並檢查它們是否屬於組
- 30. 是否可以使用XHR(「Ajax」請求)發送自定義標題?
感謝您的評論。實際上,當我閱讀這篇文章時,並沒有提到這個漏洞。 – nakajuice
哈哈,亞,它看起來像事後編輯X-D –