标签: security url-rewriting csrf
可以使用多种技术来防止CSRF / XSRF。
其中一种技术是使用客户端会话唯一的令牌,客户端向服务器发送每个请求;这是在服务器端验证的。如果请求令牌和服务器端的令牌匹配,则允许请求进入应用程序,如果不匹配,则不允许进入。因此,将检测到CSRF攻击。
虽然这个技术背后的想法对我来说非常清楚,但我不确定URL重写如何帮助防止CSRF攻击?安全专家可以对此有所了解吗?
答案 0 :(得分:2)
以下是关于URL重写的简短story。它说:
我们可以通过频繁更改网址来减轻这些漏洞的大部分风险 - 不是每200年一次,而是每10分钟一次。攻击者将无法再通过群发电子邮件发送有毒的超链接来利用应用程序漏洞,因为在邮件到达目标受害者时,链接将被破坏并无效。
我猜(并且文章同意)是防止此问题发生的总体方法的一个方面。微软也有一个很好的article谈论这个。