如果未使用XSRF / CSRF令牌验证注销请求,那么安全漏洞会是什么?
答案 0 :(得分:1)
不要将Anti-CSRF令牌视为在各个端点/请求上实现的机制。理想情况下,这种机制是您正在开发的框架的关键部分。
Anti-CSRF 可能在注销链接上似乎是多余的,这不是我在这里担心的问题。令我担心的是设计一个允许或更确切地说不执行反CSRF机制的系统。
在这种情况下,CSRF似乎是良性的。然而,当注销链接很容易说,XSS时会发生什么?突然间,反CSRF令牌不再用于保护您。
始终练习Defence in Depth,因为您的安全性应该包含在图层中,Anti-CSRF就是其中之一。
答案 1 :(得分:1)
可以与OWASP A10合并,例如攻击者还提供一个返回URL,指向某个不好的地方,例如一个假的"再次登录"他可以捕获您密码的页面。