0
내 사이트의 기본 메시지 보드 플러그인을 쓰고 있습니다. 진행자는 삭제, 승인 취소, 수정 등을 위해 각 게시물마다 href 링크를 가질 것입니다. 이러한 링크에서 CSRF 공격을 막는 가장 좋은 방법은 무엇입니까? 내가 생각해 낼 수있는 유일한 방법은 숨겨진 토큰을 가진 각 링크에 대한 양식을 만들고 href를 자바 스크립트를 사용하여 양식을 제출하도록하는 것입니다. 그러나 이것은 매우 다루기 힘든 해결책처럼 보입니다. 더 좋은 방법이 있습니까?href CSRF 예방을위한 모범 사례?
나는 비슷한 것을 읽었습니다. 신용 카드 번호 나 그와 같은 민감한 정보를 다루지 않기 때문에 GET 매개 변수로 토큰을 포함 시키면 충분합니까? – flurry
@ Slipflurry - 토큰이 독특하고 틀림없이 사용자와 상관 관계가있는 한, 확실합니다. – Oded
@Oded - 연결된 OWASP 문서에서 ** ** URL에 토큰 공개 ** : "GET 요청의 _CSRF 토큰은 브라우저 기록, HTTP 로그 파일, 로그를 가리키는 네트워크 어플라이언스 등 여러 위치에서 누출 될 수 있습니다. 보호 된 사이트가 외부 사이트로 연결되는 경우 HTTP 요청의 첫 번째 줄 및 Referer 헤더 ._ 훼손되었는지 상관하지 않는 한 CSRF 토큰을 GET 요청에 넣지 마십시오. 그런 다음 토큰을 전혀 사용하지 않는 이유는 무엇입니까? – Robert