- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
所有 CSRF 漏洞利用示例都倾向于针对处理传入请求的页面。
如果页面没有表单处理功能,我是否需要担心 CSRF?
我正在寻找的情况@:
...我的理解是,恶意页面将能够通过嵌入链接将客户端重定向到此页面,但是由于目标上没有要执行的操作,因此不会造成任何损害,对吗?
所述恶意网站无法查看敏感页面,对吗?
为什么我问:我希望包含敏感数据的页面的网址有一个“简单”的网址,允许人们通过电子邮件将链接发送给其他人(而其他人则需要一个 session 来发送链接)查看页面)。我在大多数 CSRF 解决方案中看到的基于 token 的解决方案消除了这种可能性,因此我想尽可能避免它们。
最佳答案
There's no way for said malicious site can view the sensitive page, correct ?
就 CSRF 而言正确。
您链接的博客正在谈论跨源脚本包含,这是一种不同的动物。为了容易受到 XOSI 的攻击,您的敏感页面必须可以解释为 JavaScript,并且您必须在没有正确的 HTML MIME 类型的情况下提供该页面,或者浏览器必须是不强制执行类型检查的旧浏览器关于脚本。
您可能还担心点击劫持,即另一个网站将您的网站包含在框架中并覆盖误导性的 UI 元素。有一些偷偷摸摸的方法被用来提取敏感数据(请参阅 next generation clickjacking 论文和 this Firefox 中有趣的信息泄漏),因此您可能希望禁止使用 X-Frame-Options
标题。
Why I ask: I want the url to the page with sensitive data to have a 'simple' URL which allows people to email the link to other people (who will in turn need a session to view the page). The token-based solution I've seen for most CSRF solutions remove this possibility
您绝对不应该将 CSRF token 放入 GET URL 中。除了导航的丑陋和破坏之外,URL 还很容易从浏览器或其他基础设施中泄漏,可能会损害 token 的 secret 性。
通常的做法是不会将 CSRF 保护放在无副作用的操作上。
关于security - 仅供查看的页面是否需要针对 CSRF 采取预防措施?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22692983/
我有一个用 Swift 编写的自定义转换,当呈现的 View 从侧面进入时,被关闭的 View 消失。 现在我想要同样的效果,但我希望呈现的 View 从顶部进入,而被取消的 View 从底部出来。
该方法的预期目的是什么 findBinding(View view) ? 我一直在使用数据绑定(bind)库测试版。 目前还没有针对各个类的官方引用文档,所以我一直在查看源代码以了解我们可以访问哪些方
我试图在遍历 &str 时查看当前位置前面的字符。 let myStr = "12345"; let mut iter = myStr.chars().peekable(); for c in ite
每当我在 Azure 中创建新的 Azure 函数应用时,我都会选择一个存储帐户供其使用。 创建应用后,如何查看/更改存储帐户? 我尝试在门户中浏览,但无法看到可以在哪里配置它。 最佳答案 创建后,您
我想查看读取 QFile 的 QTextStream 的下一个字符,以创建一个高效的标记器。 但是,我没有找到任何令人满意的解决方案。 QFile f("test.txt"); f.open(QIOD
当我旋转手机时, ListView 中选定的项目将被取消选择。这是我的适配器。我只想更改所选项目的颜色(仅是单个选择),当我旋转手机时,我想查看我选择的内容。现在,当我旋转手机时,我看不到所选项目。
我开始编写代码来检查函数的返回值,但我不确定在捕获到一些错误后如何继续。 例如,在 fgets 中: while( fgets( rta, 3, stdin ) == NULL ) {
是否可以获取或创建一个 optional 轮,它以假想的圆圈滚动而不是直接向下(垂直)滚动? 直线链接但想要弯曲 例如就像控件 here ,但车轮是弯曲的? 最佳答案 有没有可能你想要的是一个轮播?
当我尝试为其创建 View 时出现错误:“ View 的 SELECT 在 FROM 子句中包含一个子查询”,但它在普通查询中工作正常。我认为它与我的 WHERE 子句有关,但我不明白为什么或如何修复
在一个类中,我有以下代码: /// [System.Xml.Serialization.XmlElementAttribute("Errors", typeof(ErrorsType))] [Sys
我想显示来自 catch block 的错误(日志)消息。如何在单个屏幕上显示所有消息(堆栈),以便用户了解? 谢谢... 最佳答案 使用 Toast 怎么样? 示例: Toast.makeText(
我有以下屏幕(图像),当按下按钮时显示一个侧面菜单,菜单出现,另外我有一个 uitableview 来显示其他东西 我的问题是,当侧边菜单出现时,uitableview 被调整了大小。 如何保持 ui
invariant violation element type is invalid: expected a string (for built-in components) or a class/
我是新手,正在尝试学习 fork() 和系统调用的功能,现在我正在使用 execvp() 来尝试制作 bash,但我遇到的问题是,当我编写正确的命令时,程序结束,我想循环使用我的 bash,直到有人在
我正在尝试使用 Laravel request validation method 创建一个登录页面 和凭据验证 -> 如果用户未通过身份验证,它将返回错误“密码错误....” 我在两种不同的情况下看
我有一个 .jar 文件,我需要查看 jar 文件的内容。 是否有任何解码器可用于解码 jar 文件。 我也有 solaris 环境,我需要知道什么是 最佳答案 使用jar命令行,即 jar tf j
Git 提供了几种方式可以帮你快速查看提交中哪些文件被改变。 如果你每天使用 Git,应该会提交不少改动。如果你每天和其他人在一个项目中使用 Git,假设 每个人 每天的提
问题 tensor详细数值 不能直接print打印: ? 1
一,uptime 可以查看系统的运行时间 show global status like 'uptime'; 二,利用linux命令查看 Linux 下有个 uptime 可以查看系统的运行时
在所有主流的浏览器中,均能够查看原始的 XML 文件 不要指望 XML 文件会直接显示为 HTML 页面 查看 XML 文件 <?xml version="1.0" e
我是一名优秀的程序员,十分优秀!