我们是否需要为公共URL提供CSRF保护

时间:2012-10-05 04:37:19

标签: security csrf csrf-protection

我有一个没有任何表单的Web应用程序(在Web服务器中禁用所有表单请求)。 它只有很少的公共URL(在URL中有一些GET参数)。没有登录,也没有使用任何cookie。

我是否需要为此网络应用程序提供CSRF保护?

1 个答案:

答案 0 :(得分:1)

只有使用Cookie的域才需要XSRF或CSRF保护。即使请求来自不受您控制的网页,您网站的每个请求都会带有您的Cookie。在服务器上修改状态时最重要的是,但即使在状态未更改的情况下,它也可能很有用。

http://j.mp/learn-xsrf包含一个关于XSRF的简短教程以及如何避免它,并允许您实际尝试。

您可能遇到非状态更改请求的XSRF漏洞的示例是,如果您有一个用户看到的图像,则表明它们位于您的真实网站上。有些银行这样做,每个用户的图像都不同。但是,如果该图像是使用依赖于cookie的静态URL提供的,则它很容易受到XSRF的攻击,并且可以轻松地托管在攻击者的站点上。您可以通过在URL中包含XSRF令牌来避免此问题。 (仅为每个用户使用不同的网址是不够的。)