REST中具有身份验证的CSRF令牌
REST中具有身份验证的CSRF令牌
提问于 2015-07-25 11:17:58
我理解CSRF令牌保护的目的。
但是,我认为这种保护是无用的,如果REST 要求在每个操作的头中使用身份验证令牌,我们应该删除它。
这样,即使Mallory伪造了到Alice的恶意HTML链接,攻击也无法完成。原因是:
Alice将身份验证信息保存在Mallory不知道的头密钥中。与cookie不同,Alice的浏览器不会自动提交此身份验证令牌。
因此,在这种情况下,我想让您对这个问题有一个观点:我们能从这种API设计中删除CSRF令牌保护吗?
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/31625906
复制相关文章
相似问题
腾讯云开发者
