csrf_token显示为URL参数

时间:2018-01-05 18:16:09

标签: security http-token-authentication

网站是否可以将csrf_token显示为URL参数?我有一种感觉,我不应该看到它,但我不太确定。如果有人能清楚这一点,我将不胜感激!

2 个答案:

答案 0 :(得分:4)

不,这是不可接受的。

在URL中传递令牌通常不是可接受的解决方案。实际上是 在某些情况下被视为漏洞

如果网站未在 HTTPS 下运行,该怎么办?

如果它在 HTTPS 下运行但在服务器上未启用 HSTS ,该怎么办?然后可以使用 SSL-Stripping 技术和其他 MITM 攻击。

即使它在 HTTPS 下运行且 HSTS 已启用,也无法解决问题。

令牌可以曝光于:

  • Referer Header
  • 网络日志
  • 共享系统
  • 浏览器历史记录
  • 浏览器缓存

有关更多信息,请参阅:

Information exposure through query strings in url

OWASP CSRF Cheatsheet

答案 1 :(得分:1)

CSRF令牌的典型特征如下:

- 每个用户会话独特   - 随机值大   - 由加密安全随机数生成器生成

GET请求中的CSRF令牌可能在以下几个位置泄露:浏览器历史记录,HTTP日志文件,指向记录HTTP请求第一行的网络设备,以及受保护站点链接到外部站点时的Referer标头所以不推荐。