- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我可能是个菜鸟,但我仍然不确定 CSRF(跨站请求伪造)攻击到底是什么。那么让我们看看三种情况......
1) 我有一个 POST 表单,用于编辑网站上的数据。我希望这些数据仅由登录的用户编辑。
2) 我有一个网站,登录用户和访客都可以使用该网站。该网站的部分内容仅供登录用户使用,但也有可供所有用户使用的 POST 表单 - 匿名用户和非匿名用户(例如标准联系表单)。是否应该保护联系表单免受 CSRF 攻击?
3)我有一个根本没有身份验证系统的网站(好吧,也许这是不现实的,所以可以说它有一个与其余部分分开的管理网站,并且管理部分得到了适当的保护) 。该网站的主要部分仅供匿名用户使用。上面的 POST 表单需要保护吗?
对于 1) 的情况,答案显然是肯定的。但对于 2 和 3 我不知道(2 和 3 之间的差异是否显着?)。
最佳答案
每当针对您的网站的恶意HTML或JavaScript被嵌入到成功执行的另一个 HTML页面(或电子邮件)中时,CSRF就会发挥作用.
以下示例被放置在另一个网页中,该网页在继续操作之前会无意中询问您的姓名和年龄:
<form action="http://yoursite.com/transferfunds" method="post">
Your name: <input type="text"><br>
Your age: <input type="text"><br>
<input type="submit">
<input type="hidden" name="amount" value="1000">
<input type="hidden" name="toaccount" value="12345678">
</form>
请注意,该操作指向您的网站,并且隐藏的输入包含所需的 POST 信息。此示例将尝试将 1000 美元(无论何种货币)的资金转移到帐号 12345678。如果您需要在表单上登录并实际进行检查,那么当然只有在不知情的用户已登录的情况下,上述操作才会成功执行最近登录过您的网站,但尚未注销,或者 session 尚未过期。
为了防止这种情况发生,最好的办法是将基于请求的 token 添加到表单中并在服务器端验证它。 IE。生成一个长的、唯一的且无法猜测的随机字符串,将其存储在 session 中并作为表单的 <input type="hidden">
元素嵌入。提交表单后,将提交的 token 值与 session 中已有的 token 值进行比较(并立即删除 session 中的 token 值)。要更进一步,请使用 CAPTCHA 。
在您的特定情况下,我认为您实际上更担心 XSS ,它与 CSRF 相反,但反过来也可以是 CSRF 的来源。 XSS 的一个示例是,当用户在输入字段中输入以下内容时,该字段迟早会在同一网站上重新显示:
<form name="delete" action="admin/deleteusers" method="post"></form>
<script>document.form.delete.submit();</script>
每当您(作为管理员)查看包含(不可见!)表单和脚本的注释的页面时,它将成功执行。
预防 XSS 其实很简单。只需在网页上显示任何用户控制的输入(即请求 URL、请求 header 、请求参数和请求正文)之前对其进行 HTML 转义即可。在 PHP 中,您可以使用 htmlspecialchars()
来实现此目的,在 Java/JSP 中,可以使用 JSTL fn:escapeXml()
。这样,每个 <
将转换为 <
,>
转换为 >
,这将使任何输入的 HTML/JS 将按原样显示,因此无法执行。
关于security - 我是否面临以不需要用户登录的 POST 形式进行 CSRF 攻击的风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2397952/
这是一个新手理论问题 - 我刚刚开始使用 Python 并研究 Django 和 orm。问题:如果我开发我的对象并通过额外的开发修改基础对象结构、继承等 - Django 的 ORM 解决方案会自动
我正在使用带有服务器端处理器的 JavaScript 表单,并且我希望能够让表单根据下拉列表转到不同的电子邮件。我已经根据其他表格尽了最大努力,但似乎无法通过电子邮件。我已在电子邮件地址的选项标签下添
一个简单的问题:给定定义,(来自 Haskell SOE) do x — el; el\ ...; en => el »= \x — do e2\ ...; en 和: do let d
我是 Angular 5 的新手。我目前正在研究 Angular Reactive 表单。我有一个下面的 JSON 结构,我需要在从 FORM 获取值后发回 REST API。 JSON 结构: {
我是 Angular 5 的新手。我目前正在研究 Angular Reactive 表单。我有一个下面的 JSON 结构,我需要在从 FORM 获取值后发回 REST API。 JSON 结构: {
我有一个类型(称之为 A),我想创建一个 A -> A、A -> A -> A、A -> A -> A -> ... 等类型的函数的类型类.这不起作用: {-# LANGUAGE FlexibleIn
我正在使用 java 线程同时管理多个 (3) 程序。1 用于 Java swing 表单(绘制 UI 以进行输入),1 用于在系统托盘上设置图标(从 UI 获取输入后立即启动),1 用于处理输入并将
在当前的元素中,我在表单中遇到了一个问题。表单中标签的字体大小可能大于默认值。如果我把它举起来,那么右边的输入必须垂直居中。 我查看了 Bootstrap 和 Foundation,但都没有解决这个问
为了好玩,我使用了一段从 friend 那里得到的代码,并尝试创建一个包含用户名和密码的登录字段,但我很难获得单词旁边的字段。 username 这个词和你输入的框之间有很大的差距。密码也是如此。 这
我的表单中有一个嵌套的控制组,我想访问它们的表单状态值(如原始和有效)以动态显示验证错误。 是这样动态构建的 controlMap['password'] = this.password; contr
发送后我试图重置我的表单,但只有值设置为空。 component.html {{note.value?.length || 0}}/10
我正在尝试自定义 Stripe 结帐表单,但我不知道如何添加输入。我想添加“电话号码”和“姓名”以创建费用和客户。你知道我该怎么做吗? 这是我应该自定义的代码。 最佳答案 您将无法使用
所以我有这个需求,我想以表格的形式提交一个由五个记录组成的表单。这就是它的样子表: 这是对应的代码: Section Q.No Question
我有一个使用 react 形式和输入文本的情况。 我需要: 当用户输入时,根据输入的内容建议一个列表(我使用的是 ngx bootstrap typeahead); 仅当用户失去输入焦点时才验证输入字
我希望重构我的 Angular 项目中的大量组件,以具有强类型的 FormGroups、FormArrays 和 FormControls。 我只是在寻找一种实现强类型 react 形式的好方法。任何
我有事件表格: 'horizontal', 'fieldConfig' => [ 'template' => "{input}\n{hint}\n{error}",
是否有关于如何实现多选和响应式表单的示例? 我正在尝试在 multiselect-dropdown 上设置所选项目(从数据库中检索),它会更新显示的项目( View ),但会引发以下错误: core.
我想在表单中添加按钮以动态添加输入。但是我发现,如果我在表单中添加了一个仅记录到控制台的按钮(并且当我尝试添加输入时),它将记录日志,然后表单中断。我的Electron应用程序的前端窗口崩溃(不退出但
我有一个这样的表格 此表单位于指令内: angular.module('crowdcoreApp').directive('investorForm',function(){
我在 angularjs Controller 中调用的 $mdDialog 中有一个表单,如下所示: actions-controller.js function callForm() {
我是一名优秀的程序员,十分优秀!