2
因此,「典型」的CSRF保護方法是在會話中和隱藏的表單元素中存儲一個隨機數。攻擊網站是否有可能首先使用受害者的會話刮取目標表單,獲取隱藏的表單標記,然後將令牌發送到它們自己的表單元素中?測試這個我自己,它驗證。我只是很好奇,如果一個機器人可能會抓取頁面並獲得隨機數。比較會話值和隱藏表單是否足以防止CSRF?
如果這是可能的,那麼如何防範這種類型的攻擊呢?
A
回答
1
如果攻擊者可以抓取受害者的頁面,他不需要使用CSRF,因爲他基本上可以對用戶的數據做任何事情。這實際上被稱爲session hijacking並且有other ways of defending the user from it。
相關問題
- 1. HTTPS是否可以防止CSRF攻擊?
- 2. TABLOCK,HOLDLOCK是否足以防止INSERT?
- 3. 表單身份驗證是否防止會話劫持?
- 4. 比較和隱藏下降
- 5. 防止隱藏主對話框
- 6. 比較分母== 0.0d以防止被零除是否正確?
- 7. GWT RPC - 它是否足以抵禦CSRF?
- 8. 設置Server.ScriptTimeout的值是否足以防止頁面超時?
- 9. htmlspecalchars中的html值屬性是否足以防止xss?
- 10. 如何比較DropDown值和GridView列值,並隱藏它們是否不同
- 11. 比較會話值是否與文本框的值相匹配
- 12. 比較會話值PHProblem
- 13. FlaskWTF驗證器可以防止隱藏表單字段
- 14. 如何比較單元格值並隱藏html表中的行
- 15. 將會話值設置爲jsp隱藏表單值
- 16. 是什麼讓表單防止被隱藏?
- 17. 會話變量,隱藏字段和表
- 18. 是否阻止查詢命令足以防止SQL注入?
- 19. 是否需要CSRF保護以防OAUTH2
- 20. 防止CSRF?
- 21. ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻擊?
- 22. 是否可以在Bootstrap Modal上顯示和隱藏表單域?
- 23. 隱藏表單值
- 24. 表單不會傳遞隱藏值
- 25. 防止Vim隱藏字符
- 26. 防止自動隱藏SystemTray
- 27. HTML:防止隱藏選項
- 28. 防止UISearchDisplayController隱藏UiTable
- 29. 比較會話數據和表單數據
- 30. VBScript - 防止用戶取消隱藏隱藏的工作表
如果攻擊者能夠爲頁面亂碼尋找頁面,這遠遠超出了CSRF通常所指的頁面。 – 2011-06-10 16:48:42