如何防止跨站請求僞造（XSRF/CSRF）攻擊使用URL重寫？可以使用多種技術來防止

Question

甲CSRF/XSRF。

一項所述的技術是使用唯一的與每一個請求由客戶端向服務器發送所述客戶端會話的令牌;這在服務器端正在驗證。如果請求令牌和服務器端的令牌相匹配，則允許請求進入應用程序，如果不是，則不允許進入。因此將檢測到CSRF攻擊。

雖然該技術背後的想法是我很清楚，我不知道URL重寫如何能夠幫助防止CSRF攻擊？安全大師可以對此有所瞭解嗎？

Answer 1

這裏是一個簡短的story談到有關URL重寫。它說：

通過頻繁更改我們的URL，我們可以減少這些漏洞的大部分風險 - 不是每200年一次，而是每10分鐘一次。攻擊者將不再能夠通過大量電子郵件中毒超鏈接來利用應用程序漏洞，因爲在消息到達其預期受害者時，鏈接將被破壞且無效。

我猜（和文章同意）是一個總的辦法來防止這個問題的發生的一個方面。微軟也有一個很好的article談到這一點。