Se puede prevenir XSRF mediante la inclusión de la clave de sesión en los parametros de todas las peticiones POST?
https://stackoverflow.com/questions/1242925
-
12-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
¿Funcionará esta idea? Parece bastante estúpido, porque mi aplicación está simplemente comprobando que el navegador envía dos copias de la misma información (es decir, la clave de sesión).
Además, recordando a realizar esta comprobación suena muy tedioso. Hacer marcos web, tales como Rails y CakePHP tienen cosas que hacen que sea fácil escribir aplicaciones web XSRF a prueba?
Solución
Si se asume que la clave de sesión no se pierde (lo que podría suceder si su PHP está mal configurado y utiliza session.use_trans_sid) y no son vulnerables a los ataques de fijación de sesión, sí, esto es seguro. Esto se debe a una solicitud falsificador no puede leer las cookies, y por lo tanto no sabe lo que es el valor correcto.
Usted puede estar interesado en CSRF magia, que afirma que le permite proteger su aplicación mediante la inclusión de una una sola fila.
