为什么没有用于GET请求的csrf
提问于 2017-08-07 12:58:51
我读到没有必要在GET请求上使用CSRF,因为它们被认为是安全的。
然而,我能想到的一个场景是这样的攻击:
<img src="https://otherdomain.com/logout" />如果没有中央应急基金,这将是很糟糕的。当然,可以要求注销路径要求post,但我经常认为它是作为一个简单的href实现的。
此外,为什么会变得安全呢?他们仍然泄露回应中的数据..。
回答 1
Stack Overflow用户
回答已采纳
发布于 2017-08-07 13:02:10
这是只写的攻击。来自CSRF上的OWASP页面
CSRF攻击导致服务器上状态更改的目标功能,例如更改受害者的电子邮件地址或密码,或购买某些东西。强制受害者检索数据对攻击者没有好处,因为攻击者没有接收响应,而受害者接收的是响应。因此,CSRF攻击的目标是状态变化的请求.
只要GET请求不改变状态,它们对黑客就没有任何价值。
我认为您提供的注销示例可能会给用户带来不便,但不会对黑客造成实际伤害,也不会带来实际好处。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/45555614
复制
腾讯云开发者
