Owasp建议synchronizer token pattern防止跨站点请求伪造。如果网页是通过HTTP发送的,那么中间人将能够拦截令牌。这有多大问题?
答案 0 :(得分:2)
攻击者可以使用MITM窃取更多敏感信息,例如cookie,因此甚至不需要CSRF攻击。如果您害怕MITM和窃听,请使您的网页通过SSL。此外,请确保没有单个非HTTPS请求,只要它足够用于像SSLStrip这样的MITM攻击。您还可以发送HTTP响应标题“Strict-Transport-Security:max-age = 30000”(或您期望的最大年龄值)。
答案 1 :(得分:1)
对HTTP上使用的CSRF令牌的MITM攻击几乎不会成为问题,除非恶意站点与受害者位于同一网络上(因此可以通过自身引导受害者的流量)。
然而,p0deje说的是真的。如果你关心盗取CSRF令牌的MITM,你一定要考虑使用HTTPS。