security - 将 CSRF Token 放在 GET 请求 URL 中是否有风险?
问题描述
TL;DR 为什么将 CSRF Token 放在 GET 请求参数中是不好的?
设置问题。
我在 SaaS 应用程序上有一个搜索表单,其中为每个表单(包括 GET 表单)注入 CSRF 令牌。这对我来说似乎很糟糕,但我无法解释为什么而且我被要求这样做。
所有流量均已加密。所以 GET 参数不能被钢丝刮擦。
我在这里看到的最糟糕的情况是某种社会工程,其中恶意行为者会要求某人复制 URL,而用户只是将其交出而不认为这很危险。
否则我真的想不出这样一种情况,如果黑客不费心在中间场景中设置一个人,那么黑客驱动是可能的,在这种情况下,如果没有这个,他们可能会被设置为做更糟糕的事情CSRF 令牌。
我在这里想念什么?
解决方案
查看OWASP CSRF 预防备忘单,特别是有关在 URL 中披露令牌的部分
推荐阅读
- python - 如何在 Python 中处理非地理多边形矢量数据?
- rest - CF 管理员中的 REST 设置
- openmp - 我用 C 语言编写了一个用于求解 3D 拉普拉斯方程的 openMP 代码,但它在 HPC 集群上没有显示出良好的性能
- python - 将数据框标题设为行,将行设为标题
- python - 如何在 Python Pandas 中对同一数据框中的两列执行操作?
- reactjs - 重定向未登录的访客
- windows - 已解决 - 如何将“最新创建的文件”从“源位置”复制到 Sharepoint 空间
- jquery - 禁用日期时间 jQuery DatePicker
- laravel - laravel 为什么会话返回null?
- visual-studio-code - 在vscode中的对象检查中隐藏getter / setter?