引用:
由于CSRF是一件“重要的事情”和战术,网络发生了很大的变化 与CSRF攻击一起使用已经过时了。
我个人不保护CSRF,主要是因为我不使用 公然不安全的身份验证方法。
他有意义吗?
请给我一些论据如果我是正确的,为什么这个家伙(顽固?)或者没有想清楚,因为我想说明一点,但我实际上并不是百分之百如何表达它。
答案 0 :(得分:5)
引用的论证中没有任何意义,但可能还有其他一些我们缺失的背景。
目前尚不清楚您的同事提出的哪种形式的身份验证“并非公然不安全”,而且没有CSRF问题。
有一些可能性,例如在完全由AJAX驱动的应用程序中,您可能会将auth令牌作为输入参数传递,而不是依赖于会话。在这种情况下,您不需要额外的反CSRF措施,因为身份验证令牌已经是攻击者无法使用的秘密。
但CSRF一般都没有消失;浏览器还没有增长魔术功能来阻止它发生。对于使用浏览器持久身份验证模型(cookie,HTTP身份验证)的典型webapp模型,您肯定仍需要以某种方式解决它。