Security 当通过HTTP发送跨站点伪造请求时,同步器令牌模式的安全性如何?
Owasp建议对跨站点请求伪造进行防御。如果网页是通过HTTP发送的,那么中间的一个人将能够拦截令牌。这是一个多大的问题?攻击者可以通过MITM窃取更敏感的信息,如cookie,因此CSRF攻击甚至没有必要。如果你害怕MITM和窃听,让你的网页通过SSL。另外,确保没有一个非HTTPS请求,只要它足以支持像SSLStrip这样的MITM攻击。您还可以发送HTTP响应头“Strict Transport Security:max age=30000”(或您所需的max age值)。对通过HTTP使用的CSRF令牌的MITM攻击几乎不会成为问题,除非恶意站点与受害者位于同一网络上(因此可以通过自身引导受害者的流量) 然而,德杰所说的是真的。如果您关心MITM窃取CSRF令牌,您应该绝对考虑使用HTTPS.Security 当通过HTTP发送跨站点伪造请求时,同步器令牌模式的安全性如何?,security,web-applications,csrf,Security,Web Applications,Csrf,Owasp建议对跨站点请求伪造进行防御。如果网页是通过HTTP发送的,那么中间的一个人将能够拦截令牌。这是一个多大的问题?攻击者可以通过MITM窃取更敏感的信息,如cookie,因此CSRF攻击甚至没有必要。如果你害怕MITM和窃听,让你的网页通过SSL。另外,确保没有一个非HTTPS请求,只要它足以支持像SSLStrip这样的MITM攻击。您还可以发送HTTP响应头“Strict Transport Security:max age=30000”(或您所需的max age值)。对通过HTTP使