0
我們正在考慮關閉登錄頁面上的csrf/authenticity token保護。 (可能在登錄帖子動作中使用skip_before_filter)。這將允許我們從我們網站上的靜態html頁面發佈信息。這有什麼安全影響?看起來,如果我們只關閉登錄帖子,就沒有太多的惡意行爲可以完成。關閉登錄頁面上的csrf/authenticity_token保護
A
回答
2
CSRF令牌並不旨在阻止漫遊器! CSRF(跨站點請求僞造)是一種攻擊,例如欺騙性的formular/url被觸發,例如,由一個無形的iframe。在弱系統上,這會讓攻擊者更改主頁上的配置。
讓我描述一個示例攻擊: 網店的管理員登錄到他的管理員帳戶。攻擊者現在向他發送一封包含虛假主頁鏈接的郵件。當管理員進入頁面時,JavaScript將數據發送到他將發送表單以創建新的管理用戶的URL,並且JavaScript將發送所有需要的數據,如新用戶名,新密碼等。管理員已登錄,所以從網店的角度來看,管理員會創建一個普通的新管理員帳戶。從管理角度來看,什麼都沒發生,因爲都發生在後臺。 CSRF令牌以這種方式防止表單被攻擊。
你可以閱讀了很多關於CSRF維基百科:http://en.wikipedia.org/wiki/Cross-site_request_forgery
相關問題
- 1. 保護WordPress登錄頁面
- 2. 保護登錄頁面
- 3. WordPress的 - 通過登錄保護頁面
- 4. 如何抓取登錄保護頁面?
- 5. 受登錄保護的頁面不需要登錄訪問
- 6. 如何獲取受保護的頁面Node-ID登錄頁面?
- 7. 只爲登錄用戶登錄表單和保護頁面?
- 8. WordPress的:關閉帖子查看頁面上的登錄驗證
- 9. PHP登錄失效 - 用戶仍然可以在登錄後看到受保護頁面上的登錄表格
- 10. WordPress的 - 用戶登錄到特定的受保護的頁面
- 11. 記住登錄WordPress密碼保護頁
- 12. 保護從搜索引擎的眼睛Plesk登錄頁面
- 13. 使用zabbix監控受保護的登錄頁面
- 14. 登錄後顯示受保護的頁面
- 15. 登錄後指向受保護的頁面時出錯
- 16. IE保護模式+ SSL登錄=無cookie的非SSL頁面
- 17. 爲什麼我得到受保護的頁面而不是登錄頁面?
- 18. drupal上登錄頁面的頁面
- 19. 頁面保護
- 20. 保護頁面
- 21. TYPO3-extension webkitpdf(wkhtml2pdf)不能使用登錄受保護頁面(fe_users)
- 22. 如何僅爲登錄用戶保護頁面?
- 23. 我可以從不受保護的頁面提交登錄表單並使SiteMinder登錄頁面透明嗎?
- 24. 谷歌的OAuth不關閉登錄頁面在移動設備
- 25. 谷歌關閉登錄頁面的UI模板
- 26. Opencart關閉登錄
- 27. 關閉堆棧保護
- 28. 所有受密碼保護的WordPress頁面的單頁登錄屏幕
- 29. 在index.html上登錄頁面
- 30. 如果用戶沒有登錄,護照本地保護子頁面
@apneadiving那不是一個機器人能夠做到這一點了嗎?它需要每次加載頁面以獲得新的令牌,但仍然如此。據我所知,CSRF不會限制登錄嘗試,它只是防止重放攻擊 – Flambino
並且使用csrf標記它是一個2行機械化腳本。 Csrf是關於憑證劫持,這顯然不是一個問題在這裏 –
@apneadiving你似乎不明白CSRF的實際是什麼。 – Gumbo