如果我对我的网络应用程序使用RSA身份验证,我仍然需要使用令牌来处理CSRF攻击,否则RSA身份验证会处理它。
答案 0 :(得分:0)
取决于你的实现...... rsa本身与csrf无关......
身份验证架构可以提供一些保护(例如,如果您让用户签署所有输入),但老实说:保护用户输入与csrf有什么关系?
在服务器端,登录时创建存储在用户会话中的salt,每次需要保护用户输入时计算hash(current_timestamp,salt),并将该值+ current_timestamp作为隐藏字段赋予表单。当你收到用户输入时,获取salt,并重新计算值...如果那个与你从客户端获得的那个匹配,输入不太可能通过csrf ...
因为你永远不会将盐暴露给用户,所以没有办法(除了直接从你的会话数据库中获取它意味着一个受损系统)给用户或攻击者获取那些盐......