OWASP's Encrypted Token Pattern是CSRF保护解决方案,其中令牌值是时间的函数。这是否意味着加密令牌模式具有内置BREACH attack保护?
答案 0 :(得分:3)
通常不会,因为在大多数实现中,每次身份验证只会生成一次令牌(即当有人登录时)。 It is still generally recommended仅在每个会话中生成一次CSRF令牌。
一旦BREACH攻击检索到CSRF令牌,就可以在会话中的后续请求中使用它。如果值是加密的并不重要,因为它只是所需的密文本身。
但是,作为BREACH的缓解措施,您可以在每次请求时重新生成令牌。
There are some other mitigations here。我最喜欢的是当referer标头与您的域不匹配时禁用HTTP压缩,或者为空,因为这不会破坏系统的任何功能。对于高安全性系统,最好对HTTPS请求完全禁用HTTP压缩,因为从理论上讲,可以确定任何可重复响应的部分。