网站是否可以将csrf_token显示为URL参数?我有一种感觉,我不应该看到它,但我不太确定。如果有人能清楚这一点,我将不胜感激!
答案 0 :(得分:4)
不,这是不可接受的。
在URL中传递令牌通常不是可接受的解决方案。实际上是 在某些情况下被视为漏洞。
如果网站未在 HTTPS 下运行,该怎么办?
如果它在 HTTPS 下运行但在服务器上未启用 HSTS ,该怎么办?然后可以使用 SSL-Stripping 技术和其他 MITM 攻击。
即使它在 HTTPS 下运行且 HSTS 已启用,也无法解决问题。
令牌可以曝光于:
有关更多信息,请参阅:
答案 1 :(得分:1)
CSRF令牌的典型特征如下:
- 每个用户会话独特 - 随机值大 - 由加密安全随机数生成器生成
GET请求中的CSRF令牌可能在以下几个位置泄露:浏览器历史记录,HTTP日志文件,指向记录HTTP请求第一行的网络设备,以及受保护站点链接到外部站点时的Referer标头所以不推荐。