WinForms 是否需要 CSRF 令牌?
Do I need CSRF tokens for WinForms?
如果我们正在制作一个需要登录名和密码(以及客户端和服务器)的信使程序,那么,我想,我们实际上需要一个安全令牌,就像您在网络上使用的方式一样。
事实上,如果客户端有一个有效的安全令牌,它发送给服务器以执行任何操作,那么令牌匹配的事实意味着任何操作(甚至 "delete my account")都是有效的(除非我们有一个非常好的黑客)。对吗?
不,你不知道。您只需要对使用网络浏览器访问的网页或 http api 进行 csrf 保护。这是一个混淆的代理攻击,代理是浏览器。 https://en.m.wikipedia.org/wiki/Confused_Deputy
如果远程登录 url 被其他使用浏览器的应用程序使用,那么您需要 csrf 保护。
不过您确实希望正确处理身份验证和授权。请使用适合您的服务器环境的框架。散列密码并使用 tls.
如果我们正在制作一个需要登录名和密码(以及客户端和服务器)的信使程序,那么,我想,我们实际上需要一个安全令牌,就像您在网络上使用的方式一样。
事实上,如果客户端有一个有效的安全令牌,它发送给服务器以执行任何操作,那么令牌匹配的事实意味着任何操作(甚至 "delete my account")都是有效的(除非我们有一个非常好的黑客)。对吗?
不,你不知道。您只需要对使用网络浏览器访问的网页或 http api 进行 csrf 保护。这是一个混淆的代理攻击,代理是浏览器。 https://en.m.wikipedia.org/wiki/Confused_Deputy
如果远程登录 url 被其他使用浏览器的应用程序使用,那么您需要 csrf 保护。
不过您确实希望正确处理身份验证和授权。请使用适合您的服务器环境的框架。散列密码并使用 tls.