9
我正在寫一個主要是ajax驅動的Web應用程序,我正在研究如何保護用戶免受CSRF攻擊。我打算運行用戶登錄的應用程序頁面,以HTTPS模式工作。HTTPS是否可以防止CSRF攻擊?
是否在HTTPS上運行頁面以防止CSRF攻擊?
A
回答
16
不,在HTTPS上運行頁面並不能保護它免受CSRF攻擊。瀏覽器和服務器之間的通信被加密的事實與CSRF沒有關係。
我建議閱讀關於preventing CSRF的OWASP指導。
2
一般,金科玉律woule是:
永遠不要相信傳入的客戶端請求是合法的。始終保持懷疑態度,並假設該請求可能被惡意僞造。
很少有超越提到OWASP文章的具體規則:
如果您的數據需要認證/授權,避免在服務器上的通用接口,如CRUD接口。易於編碼,難以授權來自客戶的特定請求。而是提供一個SOA風格的接口,並提供專門用於特定用例的顯式方法,您可以直接控制請求及其參數。
即使框架提供了對請求有效性(ASP.NET視圖狀態)的一些控制,再次檢查是否該用戶被授權通過所述一組傳入參數。
+0
視圖狀態?我的請求將轉到$ .ajax頁面,因此我無法將視圖狀態的數據用於回發。 – frenchie
+0
這只是一個具體驗證機制的例子。 –
0
相關問題
- 1. ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻擊?
- 2. 如何防止以下CSRF攻擊Oauth2?
- 3. https安全Cookie是否可防止XSS攻擊?
- 4. 在grails中防止CSRF攻擊?
- 5. 防止ASP.NET MVC中的CSRF攻擊
- 6. Web安全:防止CSRF攻擊
- 7. 你如何防止特定CSRF攻擊
- 8. php防止csrf攻擊多次提交
- 9. 防止jQuery的CSRF和XSRF攻擊$ .post
- 10. 防止csrf攻擊在modx formit
- 11. 這是否可以防止注入攻擊?
- 12. hibernate命名查詢是否可以防止SQL注入攻擊?
- 13. SQLiteDatabase.insert()是否可以防止SQL注入攻擊?
- 14. 是否可以使用webHttpBinding對WCF服務執行CSRF攻擊?
- 15. 防止XSS攻擊
- 16. 防止XSS攻擊
- 17. CSRF攻擊是否適用於API?
- 18. ASP.NET Core中的Data Protection API是否可防止重放攻擊?
- 19. Access-Control-Allow-Origin是否足以防止XSRF攻擊?
- 20. dirname是否足以防止目錄遍歷攻擊?
- 21. React Native的Realm是否可以防止注入攻擊?我已經用於SQL
- 22. 是否可以通過cpanel配置和php腳本來防止DDos攻擊?
- 23. 使用自簽名證書時,是否可以防止中間人攻擊?
- 24. 攻擊MySQL - 以及如何防止它?
- 25. 如何防止春季mvc CSRF攻擊4
- 26. 如何防止ajax應用程序中的CSRF攻擊
- 27. 防止CSRF攻擊的PUT和DELETE請求的ASP.NET Web API
- 28. 防止跨站請求僞造(CSRF)攻擊
- 29. 狀態參數如何防止CSRF攻擊
- 30. 在PHP中防止CSRF攻擊的最佳方法
它CSRF(跨站請求僞造)不CSFR – CodesInChaos
@CodeInChaos:好,感謝編輯 – frenchie
請記住在開始有一點研究](http://en.wikipedia.org/wiki/Cross-site_request_forgery)瞭解導致此漏洞的原因。 – 2011-12-03 21:27:42