Web 开发人员不使用 CSRF 登录页面的原因是什么
Are there reason why web devs dont use CSRF for login pages
我最近意识到我是一些生产 Web 应用程序 运行。 Diddnt 对登录页面进行了 csrf 保护。
只有在身份验证之后,csrf 保护才会生效。
我只是想知道 developers/administrators 是否有理由这样做。可能是由于跟踪匿名用户的繁重负载造成的吗?只是想出负载。
很高兴收到大家的来信!
干杯
家臣:)
CSRF 涉及静默攻击,而用户已经登录到浏览器(假设在另一个选项卡中)。
如果他不是,该请求将不会执行任何操作,或者只是通过弹出登录表单来揭示攻击。
所以,为了保护愚蠢的网络用户免受伤害,是的,我猜你可以尝试携带一些 antiCSRF 令牌。但是现在,告诉我你是如何再次开始反 CSRF 保护的?我怎么可能第一次在登录表单上 post 我的 anticsrf 令牌?在接收登录页面时,我将不得不登陆 / 或其他东西来获取 anticsrf 令牌。但是大多数站点的第一个登录页面中都有登录表单。因此,浏览器无法在第一次请求时提供 antiCSRF 令牌(不能使用 cookie,因为即使在攻击请求期间浏览器也会发送它)。
无论如何,这是我的猜测。
CSRF 通常旨在防止在假设用户已登录的情况下执行的攻击。例如,当用户在网上银行进行会话时,恶意代码 运行 在用户的浏览器中或信用卡帐户网站 OWASP CSRF documentation
同样值得注意的是:登录时需要 CSRF 的案例。如上所述 here 不受 CSRF 保护的登录表单留下了攻击者欺骗用户使用他们控制的帐户的可能性。在这种情况下,他们可以在登录该会话时获取受害者的数据或 activity。所以最好在登录时添加它。
我最近意识到我是一些生产 Web 应用程序 运行。 Diddnt 对登录页面进行了 csrf 保护。
只有在身份验证之后,csrf 保护才会生效。
我只是想知道 developers/administrators 是否有理由这样做。可能是由于跟踪匿名用户的繁重负载造成的吗?只是想出负载。
很高兴收到大家的来信!
干杯
家臣:)
CSRF 涉及静默攻击,而用户已经登录到浏览器(假设在另一个选项卡中)。
如果他不是,该请求将不会执行任何操作,或者只是通过弹出登录表单来揭示攻击。
所以,为了保护愚蠢的网络用户免受伤害,是的,我猜你可以尝试携带一些 antiCSRF 令牌。但是现在,告诉我你是如何再次开始反 CSRF 保护的?我怎么可能第一次在登录表单上 post 我的 anticsrf 令牌?在接收登录页面时,我将不得不登陆 / 或其他东西来获取 anticsrf 令牌。但是大多数站点的第一个登录页面中都有登录表单。因此,浏览器无法在第一次请求时提供 antiCSRF 令牌(不能使用 cookie,因为即使在攻击请求期间浏览器也会发送它)。
无论如何,这是我的猜测。
CSRF 通常旨在防止在假设用户已登录的情况下执行的攻击。例如,当用户在网上银行进行会话时,恶意代码 运行 在用户的浏览器中或信用卡帐户网站 OWASP CSRF documentation
同样值得注意的是:登录时需要 CSRF 的案例。如上所述 here 不受 CSRF 保护的登录表单留下了攻击者欺骗用户使用他们控制的帐户的可能性。在这种情况下,他们可以在登录该会话时获取受害者的数据或 activity。所以最好在登录时添加它。