使用Tomcat CSRF过滤器在URL中公开令牌是否安全?

时间:2016-10-04 17:52:07

标签: tomcat csrf-protection

Tomcat支持将URL附加到URL的CSRF过滤器。这不会暴露令牌吗?这似乎不是一个安全的解决方案。我是对的吗?

1 个答案:

答案 0 :(得分:1)

CSRF攻击不会拦截从服务器到客户端的流量。它捎带客户端上的凭据并向服务器发送消息。

正常使用CSRF TOken:

  1. 服务器生成CSRF令牌并将其发送给客户端。
  2. 客户端收到CSRF令牌作为URL的一部分(不作为cookie / param!)。
  3. 客户端发回CSRF请求。
  4. 在CSRF攻击中:

    1. 攻击者在伪造网站中生成伪造请求。这没有附加CSRF密钥。
    2. 客户通过伪造网站发起伪造请求。
    3. 请求在服务器上失败,因为攻击者不知道CSRF密钥而没有提供请求。
    4. CSRF攻击中的攻击者永远不应该拦截请求/响应,只能伪造来自外部站点的响应。如果它拦截了CSRF密钥,则攻击不是跨站点伪造,因为攻击者现在是中间人。

      我们不应该担心中间人是否可以看到CSRF令牌,因为它不是为了阻止中间人攻击。