我正在使用承包商进行Web开发,并且作为管理面板安全性的一部分,他希望实施CSRF。
我从未使用过CSRF,但多个网站使用2FA。他说CSRF将负责安全,我不需要2FA。
我找不到与比较CSRF和2FA相关的文章。你能否评论一下Django CSRF vs 2FA的优缺点?
答案 0 :(得分:3)
你不会找到任何比较这两者的文章,因为它们是完全正交的概念。
跨站点请求伪造(CSRF)保护是使用cookie进行会话管理的任何应用程序的基本安全要求。攻击者可以诱骗受害者的浏览器发送伪造请求,该请求将使用受害者的cookie来验证请求。 CSRF保护检测并拒绝这些伪造的请求。不实施CSRF保护是一个严重的安全问题。
2FA为登录添加了额外的步骤。如果其中一个因素(例如密码)遭到破坏,攻击者仍然无法在没有第二个因素的情况下登录。即使会话无法受到CSRF攻击的影响,实施2FA也会提高用户帐户的安全性。
CSRF保护绝不能替代2FA。