javascript - CSRF 攻击和 Websocket
问题描述
websockets容易受到 CSRF 攻击,如果像登录这样的身份验证,怎么能做到这一点Websocket?
解决方案
我认为是的。
如果攻击者以某种方式从客户端初始化了一个套接字连接并发送消息,那么是的,CSRF 攻击是可能的。
当然,仅当您使用基于 COOKIE 的身份验证时,这才是正确的。
由于 CSRF 攻击使用 cookie,这些 cookie 由浏览器随请求自动发送,并且请求得到身份验证。
如果您使用 cookie 来验证请求和连接,那么是的,CSRF 攻击是可能的。
为了避免这些攻击,最好使用JWT之类的基于令牌的身份验证。
No Cookie-based authentication == No need for CSRF protection.
这里有一些关于AUTHENTICATION的有用链接:
推荐阅读
- python - 删除出现在文档根之前的处理指令和注释而不复制整个树?
- reactjs - 使用 React 和 Typescript 描述 curried 状态处理程序的类型
- python - modalPane 关闭后无法关闭 tkinter 根窗口
- c++ - 如何遍历目录并识别或省略 NTFS 连接(符号链接)
- c - 如何读取多维数组并将其存储在指针中
- svg - svg 文本路径在 Firefox 中呈现奇怪
- r - 使用 ggplot2 在异常点的多个日期时间添加垂直线
- python - 无法通过 python 从特定网站接收数据,SSL 错误
- java - Java - 执行存储过程
- monitoring - 联邦普罗米修斯中的连接丢失