0
中的頁面說明如下: 狀態(推薦)應用程序使用狀態參數來存儲特定於請求的數據和/或防止CSRF攻擊。授權服務器必須將未修改的狀態值返回給應用程序。狀態參數如何防止CSRF攻擊
但我不清楚狀態如何防止CSRF攻擊。對於我的想法,如果有人抓住這個包,那麼請確定請求查詢參數也是已知的,所以他可以再次發送它以淡化這個響應。
A
回答
0
常用的方法是將state存儲在用戶的會話中(如果存在)或將其設置在安全的httponly cookie中(如果該應用程序是無狀態的)。然後在回調函數中比較這些(查詢中的state與session/cookie中的state)。
如果說「軟件包」只意味着HTTP流量(一種中間人攻擊),那麼如果您使用的是HTTPS協議 - 什麼都不能被劫持。這就是強烈建議僅通過HTTPS使用OAuth的原因。
相關問題
- 1. 如何防止以下CSRF攻擊Oauth2?
- 2. 你如何防止特定CSRF攻擊
- 3. 在grails中防止CSRF攻擊?
- 4. 防止ASP.NET MVC中的CSRF攻擊
- 5. Web安全:防止CSRF攻擊
- 6. HTTPS是否可以防止CSRF攻擊?
- 7. php防止csrf攻擊多次提交
- 8. 防止jQuery的CSRF和XSRF攻擊$ .post
- 9. 防止csrf攻擊在modx formit
- 10. 如何防止XXE攻擊
- 11. 如何防止春季mvc CSRF攻擊4
- 12. 如何防止ajax應用程序中的CSRF攻擊
- 13. 如何防止涉及嵌入式iframe的CSRF/XSRF攻擊?
- 14. 防止數據庫攻擊
- 15. 防止XSS攻擊
- 16. 防止XSS攻擊
- 17. 如何演示CSRF攻擊
- 18. 如何防止二階SQL攻擊?
- 19. 如何防止重播攻擊?
- 20. 如何防止黑客攻擊tomcat?
- 21. jinja2如何防止XSS攻擊?
- 22. PHP:如何完全防止XSS攻擊?
- 23. 如何防止暴力攻擊?
- 24. 鹽如何防止字典攻擊?
- 25. 攻擊MySQL - 以及如何防止它?
- 26. django admin如何防止蠻力攻擊?
- 27. ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻擊?
- 28. 防止CSRF攻擊的PUT和DELETE請求的ASP.NET Web API
- 29. 防止跨站請求僞造(CSRF)攻擊
- 30. 在PHP中防止CSRF攻擊的最佳方法