我有这个表格
<form> //code <input type="hidden" value="gfth35rfer43556thgrth8678gbfgb" name="csrf"> </form>
令牌对每个用户都是唯一的 . 现在假设攻击者已登录并打开此页面 . 现在,他知道当前会话令牌是什么,通过复制攻击者上方的值具有身份验证令牌 . 他可以轻松攻击我的网站 . 该程序如何防止csrf攻击?
鉴于:
爱丽丝 - 一个用户
Bob--运营网站的人
马洛里 - 攻击者
CSRF保护的目的是防止Mallory欺骗Alice提交Mallory提供的数据(使用Alice的用户凭证) .
由于Alice和Mallory有不同的代币,Mallory不能只是“复制上面的 Value ” .
它不能阻止Mallory使用自己的凭据提交数据 . 要解决该问题,您需要确定为不同用户提供多少信任 .
1 回答
鉴于:
爱丽丝 - 一个用户
Bob--运营网站的人
马洛里 - 攻击者
CSRF保护的目的是防止Mallory欺骗Alice提交Mallory提供的数据(使用Alice的用户凭证) .
由于Alice和Mallory有不同的代币,Mallory不能只是“复制上面的 Value ” .
它不能阻止Mallory使用自己的凭据提交数据 . 要解决该问题,您需要确定为不同用户提供多少信任 .