欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  后端开发

现在浏览器这么安全,是不是没必要进行csrf防御了?

程序员文章站 2022-04-04 11:18:52
...
首先,服务端nginx等需要设置跨域请求以及跨域frame请求是否允许(默认都是不允许的)。
再者,浏览器端对跨域ajax限制非常严格,根本不允许跨域访问cookie。

那么我们web开发时,现在对csrf所做的措施(一般是给form 加个hidden csrf token input),是否是多此一举了,完全没必要?

回复内容:

哈哈哈,当然仍旧需要。

测了下,虽然,nginx配置'X-Frame-Options' to 'SAMEORIGIN'后,同domain下居然不能iframe不同子域名,既然打不开就更别说之后的通过js来获取cookie进而得到session id。

但是一种更简单的攻击仍旧无法避免:

如果你在一个被我做了手脚的wifi环境(局域网)中,我污染了dns,并且做了个恶意站叫做csrf-attack,然后你登陆了某个没有csrf防御的站叫做no-csrf-token, 然后我在csrf-attack里做了个页面,里面有个这样的表单:

action="no-csrf-token/reset-password" method="post"> type="hidden" name="password" value="password123"> type="hidden" name="repassword" value="password123">
浏览器无法阻止crsf攻击。 【现在浏览器这么安全】......

这真的不是钓鱼贴? 所有的东西都在后台可以看到现在浏览器这么安全,是不是没必要进行csrf防御了?

声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn核实处理。

相关文章

相关视频