0
報價:不需要CSRF保護?
互聯網已經改變了很多,因爲CSRF是一個「大事情」,並與CSRF攻擊所用的戰術 正在變得過時。
我個人沒有防止CSRF,主要是因爲我沒有使用 明顯不安全的身份驗證方法。
他有什麼意義嗎?
請給我一些參數如果我是正確的,爲什麼這個人是(固執?)或者沒有清楚地思考,因爲我想說明一點,但我實際上並沒有達到如何表達它。 ..
A
回答
5
引用的論點沒有任何意義,但可能還有一些我們錯過的其他背景。
目前還不清楚你的同事提出的認證是什麼樣的形式,而不是公然不安全,沒有CSRF問題。
有一些可能性,例如,在完全由AJAX驅動的應用程序中,您可能會傳遞身份驗證令牌作爲輸入參數,而不是依賴會話。在這種情況下,您不需要額外的反CSRF措施,因爲身份驗證令牌已經是攻擊者無法獲得的祕密。
但CSRF一般還沒有消失;瀏覽器還沒有發展出魔法功能來阻止它發生。對於使用瀏覽器持久性驗證模型(cookie,HTTP驗證)的webapp的典型模型,您肯定仍然需要以某種方式解決它。
相關問題
- 1. 是否需要CSRF保護以防OAUTH2
- 2. csrf保護
- 3. API CSRF保護
- 4. CSRF保護ExpressJS
- 5. csrf的保護
- 6. Phoenix和CSRF的CSRF保護
- 7. php csrf保護庫
- 8. Codeigniter AJAX CSRF保護
- 9. PEAR QuickForm2 CSRF保護
- 10. CSRF保護問題
- 11. Spark Framework CSRF保護
- 12. CSRF保護與JavaScript?
- 13. 何時需要使用令牌(CSRF攻擊)來保護表單?
- 14. 是否需要CSRF保護免於副作用的GET請求?
- 15. SPA,網站使用的oauth2 API - 我需要CSRF保護
- 16. Tomcat中的CSRF保護
- 17. Django中的CSRF保護
- 18. CSRF保護如何工作?
- 19. Angular2和Laravel CSRF保護
- 20. Angular,Expressjs和Lusca csrf保護
- 21. reactjs/redux + django CSRF保護
- 22. Rest API中的CSRF保護
- 23. Tomcat中的CSRF保護7
- 24. Liferay的CSRF保護與@ResourceMapping
- 25. CSRF保護GET鏈接
- 26. 使用Symfony CSRF保護
- 27. Laravel路由和CSRF保護
- 28. CSRF保護和可用性
- 29. 笨CSRF保護錯誤:
- 30. IdentityServer4中的CSRF保護
絕對沒有.. – allaire
你能給我一些東西來對付這個嗎?我不希望人們認爲這個人說的是錯誤的方向。 – John
Rails在這裏有關於CSRF的很好的信息:http://guides.rubyonrails.org/security.html#cross-site-request-forgery-csrf – allaire