Security OTP令牌与CSRF令牌的区别
我正在搜索防止URL伪造的 比如下面的例子Security OTP令牌与CSRF令牌的区别,security,csrf,one-time-password,Security,Csrf,One Time Password,我正在搜索防止URL伪造的 比如下面的例子 http://www.test.com/tranfer-money.do?value=1000000 如果我能得到任何受害者的治疗,我可以寄钱给我想要的东西 我碰巧发现了CSRF技术 我碰巧也发现了OTP技术 我认为它们是完全相同的算法。 OTP就像它的名字上写着“一次性密码” 而反CSRF只是OTP架构的一个样本。” 不是吗 算法是“服务器给客户端一个不可预测的令牌,客户端将使用该令牌请求,服务器将验证” 我之所以这样想,有两个原因 独立对象发出令
http://www.test.com/tranfer-money.do?value=1000000
如果我能得到任何受害者的治疗,我可以寄钱给我想要的东西
我碰巧发现了CSRF技术
我碰巧也发现了OTP技术
我认为它们是完全相同的算法。
OTP就像它的名字上写着“一次性密码”
而反CSRF只是OTP架构的一个样本。”
不是吗
算法是“服务器给客户端一个不可预测的令牌,客户端将使用该令牌请求,服务器将验证”
我之所以这样想,有两个原因
独立对象发出令牌。
从OTP的角度来看,硬件或应用程序会发出一个唯一的(不可预测的)令牌
从反CSRF的角度来看,服务器问题是唯一的(不可预测的)令牌吗
无论它们是什么颁发者,重要的是独立于客户机对象的对象发出令牌
独立颁发者对象一次颁发一个令牌。
在OTP中,硬件或应用程序在用户请求敏感信息之前立即发出令牌。
在反CSRF中,服务器也会在用户登录后立即发出令牌。
(我们每次都可以生成WAS服务器问题令牌。这取决于WAS服务器配置。如果我将服务器配置为这样工作,您能说这不是反CSRF服务器吗?)
我想知道的是CSRF令牌和OTP令牌之间的区别。OTP(一次性密码)和CSRF(跨站点请求伪造)是不同的东西
OTP是一种身份验证机制。某种应用程序或硬件令牌正在生成一个字符串,可用于在应用程序中进行身份验证。著名的例子是RSA令牌,它实现了基于时间的一次性密码协议
是web应用程序的一个弱点,它无法验证用户是否有意发送请求。当我们谈到CSRF保护时,通常指使用反CSRF令牌进行保护。这些令牌由服务器生成,并在每次更改系统状态的请求中由客户端传递。所有没有此令牌的请求都会重新发送已被服务器删除