Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 将UID用作密钥是否有助于防止CSRF攻击?_Security_Csrf - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security 将UID用作密钥是否有助于防止CSRF攻击?

Security 将UID用作密钥是否有助于防止CSRF攻击?

security

Security 将UID用作密钥是否有助于防止CSRF攻击?,security,csrf,Security,Csrf,登录到应用程序的用户的UID用作数据库中记录的密钥,如下例所示: 即使使用此实现,用户仍然可以对该应用程序执行CSRF攻击吗?如何处理?如果uid是一个哈希或一些无法猜测或获取的字符串。您的方法可以防止CSRF。但这种方法不是一种好方法。因为uid不会改变(通常一个用户的uid不会改变),所以如果攻击者得到这个信息,他就可以进行攻击。因此,要防止CSRF,最好的方法是为要保护的api生成CSRF_令牌。对于这些API,当客户端请求时,它必须包含CSRF_令牌(在标头、post表单或url本身中

登录到应用程序的用户的UID用作数据库中记录的密钥,如下例所示:

即使使用此实现,用户仍然可以对该应用程序执行CSRF攻击吗?如何处理?

如果uid是一个哈希或一些无法猜测或获取的字符串。您的方法可以防止CSRF。但这种方法不是一种好方法。因为uid不会改变(通常一个用户的uid不会改变),所以如果攻击者得到这个信息,他就可以进行攻击。因此,要防止CSRF,最好的方法是为要保护的api生成CSRF_令牌。对于这些API,当客户端请求时,它必须包含CSRF_令牌(在标头、post表单或url本身中。在cookie中不要包含此令牌,因为cookie可能通过XSS攻击获得)