Security 显示为URL参数的csrf_令牌
网站可以将csrf_令牌显示为URL参数吗?我有一种感觉,我不应该看到它,但我不太确定。如果有人能澄清一下,我将不胜感激 CSRF令牌的典型特征如下: -每个用户会话唯一 -大随机值 -由加密安全随机数生成器生成Security 显示为URL参数的csrf_令牌,security,http-token-authentication,Security,Http Token Authentication,网站可以将csrf_令牌显示为URL参数吗?我有一种感觉,我不应该看到它,但我不太确定。如果有人能澄清一下,我将不胜感激 CSRF令牌的典型特征如下: -每个用户会话唯一 -大随机值 -由加密安全随机数生成器生成 GET请求中的CSRF令牌可能在以下几个位置泄漏:浏览器历史记录、HTTP日志文件、指向记录HTTP请求第一行的网络设备,如果受保护的站点链接到外部站点,则不建议使用Referer标头。不,这是不可接受的 在URL中传递令牌通常不是一个可接受的解决方案。实际上是 在某些情况下,被视为漏
GET请求中的CSRF令牌可能在以下几个位置泄漏:浏览器历史记录、HTTP日志文件、指向记录HTTP请求第一行的网络设备,如果受保护的站点链接到外部站点,则不建议使用Referer标头。不,这是不可接受的 在URL中传递令牌通常不是一个可接受的解决方案。实际上是 在某些情况下,被视为漏洞 如果网站未在HTTPS下运行怎么办 如果它在HTTPS下运行,但服务器上未启用HSTS怎么办?然后,SSL剥离技术和其他MITM攻击将成为可能 即使它在HTTPS下运行,并且启用了HSTS,也无法解决问题 令牌可以在以下位置公开:
- 参考标题
- 网络日志
- 共享系统
- 浏览器历史记录
- 浏览器缓存
谢谢您的澄清。我已尝试在该站点上重新生成问题。每次我更改我的个人资料图片时都会发生这种情况,可能每次网站发送POST请求时都会发生这种情况。你认为值得向网站报告吗?