security - 使用UID作为密钥是否可以防止CSRF攻击？

使用UID作为密钥是否可以防止CSRF攻击？

时间：2020-10-16 02:43:21

标签： security csrf

已登录到应用程序的用户的UID用作在数据库中进行记录的键，如下例所示：

即使采用这种实现方式，用户仍然可以对该应用程序执行CSRF攻击吗？怎么样？

1 个答案:

答案 0 :(得分：-1)

如果uid是无法猜测或获取的哈希或某些字符串。您的方法可以防止CSRF。但是这种方法不是一个好方法。因为uid不会改变（通常一个用户的uid永远不会改变），所以如果攻击者得到了这个，他就可以进行攻击。因此，为了防止CSRF，最好的方法是为您要保护的api生成CSRF_token。对于这些api，当客户端请求时，它必须包含CSRF_token（以标头，帖子形式或url本身。由于XSS攻击可能会获得cookie，因此不要包含在cookie中）。

检查引荐来源是否足以防止CSRF攻击？
ASP.NET MVC中的AntiForgeryToken是否可以防止所有CSRF攻击？
asp.net是否可以防止SQL注入攻击
这是否可以防止注射攻击？
HTTPS是否可以抵御CSRF攻击？
当CRUD操作使用链接而不是表单时，如何防止CSRF攻击？
pgdb是否可以防止注入攻击？
令牌如何防止csrf攻击？
有什么措施可以防止CSRF攻击？
使用UID作为密钥是否可以防止CSRF攻击？

我写了这段代码，但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？
是否有可能使 loadstring 不可能等于打印？卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用？
在此代码中是否有使用“this”的替代方法？
在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源？