gpt4 book ai didi

security - 仅供查看的页面是否需要针对 CSRF 采取预防措施?

转载 作者:行者123 更新时间:2023-12-02 21:29:28 25 4
gpt4 key购买 nike

所有 CSRF 漏洞利用示例都倾向于针对处理传入请求的页面。

如果页面没有表单处理功能,我是否需要担心 CSRF?

我正在寻找的情况@:

  • 相关页面包含敏感数据
  • 因此用户需要建立 session 才能查看页面

...我的理解是,恶意页面将能够通过嵌入链接将客户端重定向到此页面,但是由于目标上没有要执行的操作,因此不会造成任何损害,对吗?

所述恶意网站无法查看敏感页面,对吗?

为什么我问:我希望包含敏感数据的页面的网址有一个“简单”的网址,允许人们通过电子邮件将链接发送给其他人(而其他人则需要一个 session 来发送链接)查看页面)。我在大多数 CSRF 解决方案中看到的基于 token 的解决方案消除了这种可能性,因此我想尽可能避免它们。

最佳答案

There's no way for said malicious site can view the sensitive page, correct ?

就 CSRF 而言正确。

您链接的博客正在谈论跨源脚本包含,这是一种不同的动物。为了容易受到 XOSI 的攻击,您的敏感页面必须可以解释为 JavaScript,并且您必须在没有正确的 HTML MIME 类型的情况下提供该页面,或者浏览器必须是不强制执行类型检查的旧浏览器关于脚本。

您可能还担心点击劫持,即另一个网站将您的网站包含在框架中并覆盖误导性的 UI 元素。有一些偷偷摸摸的方法被用来提取敏感数据(请参阅 next generation clickjacking 论文和 this Firefox 中有趣的信息泄漏),因此您可能希望禁止使用 X-Frame-Options 标题。

Why I ask: I want the url to the page with sensitive data to have a 'simple' URL which allows people to email the link to other people (who will in turn need a session to view the page). The token-based solution I've seen for most CSRF solutions remove this possibility

您绝对不应该将 CSRF token 放入 GET URL 中。除了导航的丑陋和破坏之外,URL 还很容易从浏览器或其他基础设施中泄漏,可能会损害 token 的 secret 性。

通常的做法是不会将 CSRF 保护放在无副作用的操作上。

关于security - 仅供查看的页面是否需要针对 CSRF 采取预防措施?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22692983/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com