Tomcat支持将URL附加到URL的CSRF过滤器。这不会暴露令牌吗?这似乎不是一个安全的解决方案。我是对的吗?
答案 0 :(得分:1)
CSRF攻击不会拦截从服务器到客户端的流量。它捎带客户端上的凭据并向服务器发送消息。
正常使用CSRF TOken:
在CSRF攻击中:
CSRF攻击中的攻击者永远不应该拦截请求/响应,只能伪造来自外部站点的响应。如果它拦截了CSRF密钥,则攻击不是跨站点伪造,因为攻击者现在是中间人。
我们不应该担心中间人是否可以看到CSRF令牌,因为它不是为了阻止中间人攻击。