我想为CSRF攻击创建一个黑名单。例如,在SQL injection中,关键字如:select,from,where,drop等可以设置在黑名单中。我想知道是否有可能创建CSRF攻击黑名单?
答案 0 :(得分:1)
不是...... CSRF是对具有真实会话的浏览器发起的真实资源的请求。以某种方式阻止它将意味着阻止合法请求。唯一的方法是使用一些CSRF令牌并检查Web应用程序中的origin / referer标头
答案 1 :(得分:0)
除了无法实现CSRF的黑名单之外,还有丹尼尔f。注意,由于根本没有明显的输入,黑名单过滤器通常被认为是一个非常弱的控制。它们通常甚至不足以防止SQL注入,由于严格的语言和相对较少的关键字集,这应该是最容易被黑名单保护的方法之一。
OWASP表示关于SQL injection:"几乎总是如此,黑名单上充满了漏洞,使其无法防止SQL注入攻击。"这同样适用于任何其他黑名单。
如here所述,有几种方法可以阻止CSRF,但黑名单输入不是其中之一。