내 사이트의 기본 메시지 보드 플러그인을 쓰고 있습니다. 진행자는 삭제, 승인 취소, 수정 등을 위해 각 게시물마다 href 링크를 가질 것입니다. 이러한 링크에서 CSRF 공격을 막는 가장 좋은 방법은 무엇입니까? 내가 생각해 낼 수있는 유일한 방법은 숨겨진 토큰을 가진 각 링크에 대한 양식을 만들고 href를 자바 스크립트를 사용하여 양식을 제출하도록하는 것입니다. 그러나 이것은 매우 다루기 힘든 해결책처럼 보입니다. 더 좋은 방법이 있습니까?href CSRF 예방을위한 모범 사례?
0
A
답변
2
OWASP CSRF Prevention cheatsheet을 읽으셨습니까?
0
href 링크에 CSRF 토큰을 연결하기 만하면됩니다.
그리고 사회자 세션에 그 토큰을 확인
는XSRF의 요점은 요청, 응답 의존을 확인하는 것입니다. 간단히 토큰과 응답을 연결하십시오.
+0
글쎄요, 예를 들면 : – AbiusX
+0
GET 요청은 서버의 상태를 변경해서는 안됩니다. –
관련 문제
- 1. 모범 사례
- 2. 모범 사례?
- 3. 모범 사례 또는 불량 사례
- 4. HTML에서 숨겨진 값 저장 (모범 사례, 오류, 기본값) 모범 사례
- 5. NAnt 모범 사례
- 6. 데이터 영역 모범 사례
- 7. HttpRuntime.Cache 모범 사례
- 8. JPA 모범 사례
- 9. 순환 종속성 모범 사례
- 10. 레일스 모범 사례 필터링
- 11. PhpUnit을 사용한 모범 사례
- 12. 현지화 모범 사례
- 13. Android 서버 모범 사례
- 14. 메서드 모범 사례 - VB.NET
- 15. WPF 툴팁 모범 사례
- 16. INotifyPropertyChanged 모범 사례
- 17. C# : 모범 사례 Debug.Print
- 18. PyLint 모범 사례?
- 19. 모범 사례 - C#을
- 20. 공유 요소, 모범 사례
- 21. 모범 사례 : 상대 URL
- 22. Ruby에서 STDIN의 모범 사례?
- 23. LDAP 모범 사례
- 24. ASP.NET MVC 모범 사례
- 25. (WPF) UI 모범 사례
- 26. 목표 - C 모범 사례
- 27. SSRS 모범 사례
- 28. Eclipse Workspace 모범 사례
- 29. 레거시 호환성을위한 모범 사례
- 30. 과부하 모범 사례
나는 비슷한 것을 읽었습니다. 신용 카드 번호 나 그와 같은 민감한 정보를 다루지 않기 때문에 GET 매개 변수로 토큰을 포함 시키면 충분합니까? – flurry
@ Slipflurry - 토큰이 독특하고 틀림없이 사용자와 상관 관계가있는 한, 확실합니다. – Oded
@Oded - 연결된 OWASP 문서에서 ** ** URL에 토큰 공개 ** : "GET 요청의 _CSRF 토큰은 브라우저 기록, HTTP 로그 파일, 로그를 가리키는 네트워크 어플라이언스 등 여러 위치에서 누출 될 수 있습니다. 보호 된 사이트가 외부 사이트로 연결되는 경우 HTTP 요청의 첫 번째 줄 및 Referer 헤더 ._ 훼손되었는지 상관하지 않는 한 CSRF 토큰을 GET 요청에 넣지 마십시오. 그런 다음 토큰을 전혀 사용하지 않는 이유는 무엇입니까? – Robert