我通过引荐来源字段过滤HTTP请求,以防止跨站点伪造攻击。我知道这是一个坏主意,我已经使用ASP.NET MVC内置的防伪机制,但我们的客户有特殊的安全实用程序,通过HTTP请求的更改引用字段检查跨站点伪造攻击。
我的问题是当我收到不允许的域名时我需要做什么?要返回哪些http代码以及我应该向用户显示哪个页面?
是否应该找到404这样的自定义页面,或者只是重定向到主页面?
什么是常见做法?
答案 0 :(得分:0)
“403 Forbidden”并提供一个HTML正文,指导用户访问您的主页。
攻击者在POST期间无法看到CSRF攻击的状态代码(由于同源策略),因此除了用于通知真实用户之外,HTTP代码无关紧要。