如何保护我的网站免受跨站点请求伪造攻击? 我正在访问一个正常的"网站。 (f.e. normal.php) 在后台它加载了另一个我已经登录的网站(例如,受害者.php / send_comment)。 该网站用JS填充victim.php的评论框并自动发送请求。
在网络中,我总是找到针对CSRF使用令牌的技巧。但在此示例中,网站normal.php将在加载其他网站时获取令牌。 我误解了令牌是如何工作的吗?如果没有,我如何阻止我的网站接受此请求?
答案 0 :(得分:1)
CSRF的整个想法是,如果没有来自您访问过的上一页的令牌,无法获取victim.php/send_comment。
你形成了从初次登录到请求的“链”,直到你到达那里,每个请求都被前一个请求授权 - 除非你拦截登录页面,否则就没有办法伪造请求。
最简单,最安全的方法就是使用一个为您处理CSRF的Web框架。手工完成这可能是不必要的,而且容易出错。