登录后我需要csrf令牌吗?

时间:2015-03-12 17:11:59

标签: ajax node.js security reactjs csrf

我正在构建一个简单的待办事项列表,用户将在该列表中登录(使用csrf-token),然后才能将项目添加到待办事项列表中。在用户登录后,我是否需要使用AJAX(待办事项列表项)将csrf_tokens添加到提交中?我使用基于会话的身份验证。

1 个答案:

答案 0 :(得分:2)

嗯,我说是的,你必须这样做,看一下摘录自owasp(开放式网络应用安全项目)文档:

  

定位普通用户时,成功的CSRF攻击可能会受到影响   最终用户数据及其相关功能。如果是目标最终用户   是一个管理员帐户,CSRF攻击可以危及整个   Web应用程序。更容易受到攻击的网站是   社区网站(社交网络,电子邮件)或网站很高   与他们相关的美元价值账户(银行,股票经纪人,   账单支付服务)。 即使用户已登录,也可能发生此攻击   使用强加密(HTTPS)进入网站。利用社交   在工程方面,攻击者会嵌入恶意HTML或JavaScript代码   进入电子邮件或网站请求特定的“任务网址”。任务   然后直接或者在用户不知情的情况下执行   利用跨站点脚本漏洞(例如:Samy MySpace蠕虫)。