Coldfusion 当检测到跨站点请求伪造（CSRF）时，应返回什么响应_Coldfusion_Csrf_Owasp

Coldfusion 当检测到跨站点请求伪造（CSRF）时，应返回什么响应

coldfusion

Coldfusion 当检测到跨站点请求伪造（CSRF）时，应返回什么响应,coldfusion,csrf,owasp,Coldfusion,Csrf,Owasp,当检测到跨站点请求伪造（CSRF）时，我应该发送什么响应有一个扫描工具我拿不到，它说我的一个页面没有受到CSRF的保护。但事实确实如此。我返回的响应是一个正常的202，带有“请求无法处理”的语句。就是这样，没有任何信息发送回攻击者，我记录了尝试。但是这个软件说它仍然容易受到CSRF的影响。我自己可以很容易地运行测试并找出答案，但扫描和测试之间的间隔时间很长，我无法获得相同的软件，这就是为什么我要求stackoverflow，所以我希望能在下次计划的扫描中完成它。我正在考虑发回一个状态码404或

当检测到跨站点请求伪造（CSRF）时，我应该发送什么响应

有一个扫描工具我拿不到，它说我的一个页面没有受到

CSRF

的保护。但事实确实如此。我返回的响应是一个正常的

，带有“请求无法处理”的语句。就是这样，没有任何信息发送回攻击者，我记录了尝试。但是这个软件说它仍然容易受到CSRF的影响。我自己可以很容易地运行测试并找出答案，但扫描和测试之间的间隔时间很长，我无法获得相同的软件，这就是为什么我要求stackoverflow，所以我希望能在下次计划的扫描中完成它。我正在考虑发回一个状态码

或

，而不是

当检测到

CSRF

时，您建议发回什么？

如何：

401未经授权或 403禁止

由于用户在技术上有权访问该站点，因此禁止的只是特定操作（HTTP POST没有正确的CSRF令牌）

web服务器可以返回403禁止的HTTP状态代码，以响应客户端对网页或资源的请求，以指示可以访问服务器并理解该请求，但拒绝采取任何进一步的操作。状态代码403响应是web服务器被配置为出于某种原因拒绝客户端对请求的资源的访问的结果

请记住，攻击者将无法读取此响应，并且在大多数情况下，用户将看不到消息或HTTP响应，因为CSRF攻击的目的不是让受害者明显地知道它正在发生。如果你有一个有效的CSRF机制，你的站点无论如何都不可能受到这种方式的攻击-防御也是威慑。

显然，当另一个问题不在同一个StackExchance站点上时，你不能将一个问题标记为重复问题。请看这里：@iKnowKungFoo我认为

makerofthings7

很合算。值得注意的是，当用户长时间打开选项卡时，这是一个常见错误，比如他们正在做什么。如果他们的会话过期，并且他们从另一个选项卡重新登录，那么当他们从旧选项卡提交表单时将出现此错误。因此，如果这很重要，请确保表单没有丢失！