이미 CSRF 토큰이있는 시나리오가 있지만 제거해야합니다. 전자 상거래에서는 제품 페이지가 Varnish에 의해 캐시되므로 사용자가 여기에 직접 방문하면 토큰의 유효성을 검사 할 세션 ID가 없습니다. 이 페이지에서는 CSRF 토큰을 가진 "장바구니에 추가"버튼이 있지만 물론 잘못된 토큰으로 캐시됩니다.CSRF 토큰 피하기
제 질문은 : 토큰으로 숨겨진 입력에 의존하지 않고 CSRF 보호를하는 또 다른 방법이 있습니까? 단추가 놓여있는 페이지는 캐시되어야하므로이 경우 토큰이 좋지 않습니다.
감사합니다.
이것은 CSRF 토큰을 가지지 않고 동일한 원천 정책에 의존하는 것과 동일합니까? '/ getCSRFToken '을 확보 할 수있는 유일한 방법은 다른 출처 정책을 통해 이루어지기 때문에 CSRF 공격을 마운트하는 대신 CSRF 토큰을 얻는 첫 번째 게시물 (두 번째 요청은 공격 요청),'/ GetCSRFToken'이 어떻게 보호되는지에 대해 뭔가 빠져있는 것이 아니라면? –
csrf 공격에서는 값을 검색 할 수 없으며 보낼 수만 있습니다. 동일 원산지 정책은 쓰기를 허용하지만 읽지 않기 때문에 CSRF 완화를 사용해야하는 이유가 있습니다. 글쓰기 란 POST 요청이나 다른 '안전하지 않은'메소드를 의미합니다. 당신이 묻는대로 대답합니까? – SilverlightFox
또는 귀하의 질문에 대해 오해하셨습니까? 나는 그것이 당신의 downvote 것 같아요? – SilverlightFox