我使用Fiddler来查看我网站上的一些攻击媒介。 我从我的validate-function复制http请求并更改它:我切断了引用行。它有效。这是CSRF的证据吗?
问题换句话说:当我在没有Referer的情况下在Fiddler中重现HTTP-Request时,是否证明我的网站容易受到CSRF攻击?或者我可以仅使用Fiddler来寻找CSRF攻击吗?
答案 0 :(得分:1)
不一定,不。引用检查是尝试阻止CSRF的一种方法,但它通常不是最佳选择,因为某些中介剥离此标头,如果客户端浏览器或其中一个插件有错误,攻击者可能会发送虚假的引用。今天大多数网站都在HTTP POST主体中发送 nonce ,服务器使用该实体来验证请求是由第一方网站上的页面生成的,而不是跨站点请求。