gpt4 book ai didi

php - CSRF token 和 XSS 漏洞

转载 作者:塔克拉玛干 更新时间:2023-11-03 05:36:15 26 4
gpt4 key购买 nike

假设我们在表单中使用了 CSRF token ,但碰巧我们的网站上存在一个未被注意到的 XSS 漏洞。

据我所知,CSRF token 保护在这种情况下完全无效,因为攻击者可以通过 XSS 使用 XMLHttpRequest 检索它。

在这种情况下,有没有一种方法可以让 CSRF 保护在攻击中幸存下来,或者我们的网站是否应该在执行任何 CSRF 之王之前首先拥有安全的反 XSS 保护?

在每次页面请求时设置一个新 token 而不是在登录时设置 token 是否可以解决这个问题?这带来了一次打开更多表单的问题,我不喜欢它。

最佳答案

您的站点应该关闭您发现的所有 XSS 漏洞,否则 CSRF 将毫无用处。然而,并行添加 CSRF 会很有用,这样一旦所有 XSS 错误都得到修复,站点的 csrf 保护也能正常工作。

不幸的是,如果存在 XSS 漏洞,则无法防止 CSRF,因为攻击者可以通过 XSS 漏洞读取您的网站并检查 token (使用 javascript)。因此,无论您以何种方式在任何地方添加 token ,都可以找到该 token ,然后进行屏幕抓取

但是,如果您确保重要页面上没有 XSS 错误,然后添加 CSRF 保护,安全漏洞仍然存在,但将多个错误链接在一起所需的技能水平会更加困难。

关于php - CSRF token 和 XSS 漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11111160/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com