Wie ein Cross-Site Request Forgery (XSRF / CSRF) Angriff mit URL-Rewriting zu verhindern?
https://stackoverflow.com/questions/1213246
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ein CSRF / XSRF kann unter Verwendung einer Reihe von Techniken verhindert werden.
Einer der Technik ist ein Token einzigartig für die Client-Sitzung zu verwenden, mit jeder Anfrage an den Server vom Client gesendet wird; die auf der Server-Seite überprüft wird. Wenn die Anforderungs-Token und dem Token auf der Serverseite entspricht, wird die Anfrage gestattet die Anwendung geben, und wenn dies nicht der Fall ist es nicht betreten darf. Somit wäre ein CSRF Angriff erkannt werden.
Obwohl die Idee hinter der Technik, um mich ganz klar ist, ich bin nicht sicher, wie URL-Rewriting helfen, einen CSRF-Angriff verhindern könnten? Kann Sicherheit Gurus auf diese etwas Licht werfen?
Lösung
Hier ist eine kurze Geschichte dass die Gespräche über URL-Rewriting. Dort heißt es:
Wir können viel von dem Risiko dieser Schwachstellen mildern durch unsere URLs häufig wechselnden - nicht einmal alle 200 Jahre einmal alle 10 Minuten. Angreifer würden nicht mehr in der Lage sein, Software-Schwachstellen von Massen-E-Mail, vergiftet Hyperlinks zu nutzen, weil die Links gebrochen und ungültig durch die Zeit, würden die Botschaften ihre beabsichtigten Opfer erreicht.
Was denke ich (und der Artikel zustimmt) ist eine Facette eines Gesamt Ansatz, um dieses Problem zu verhindern, dass passiert. Microsoft hat auch eine gute Artikel rel="nofollow, die darüber spricht.
