现在浏览器这么安全,是不是没必要进行csrf防御了
哈哈哈,当然仍旧需要。测了下,虽然,nginx配置\u0026#39;X-Frame-Options\u0026#39; to \u0026#39;SAMEORIGIN\u0026#39;后,同domain下居然不能iframe不同子域名,既然打不开就更别说之后的通过js来获取cookie进而得到session id。但是一种更简单的攻击仍旧无法避免:如果你在一个被我做了手脚的wifi环境(局域网)中,我污染了dns,并且做了个恶意站叫做csrf-attack,然后你登陆了某个没有csrf防御的站叫做no-csrf-token, 然后我在csrf-attack里做了个页面,里面有个这样的表单:\u0026lt;form action="no-csrf-token/reset-password" method="post"\u0026gt; \u0026lt;input type="hidden" name="password" value="https://www.zhihu.com/api/v4/questions/37136310/password123"\u0026gt; \u0026lt;input type="hidden" name="repassword" value="https://www.zhihu.com/api/v4/questions/37136310/password123"\u0026gt; \u0026lt;!-- 更多的隐藏input --\u0026gt; \u0026lt;button type="submit"\u0026gt;点击送话费\u0026lt;/button\u0026gt;\u0026lt;/form\u0026gt;
这样当你在csrf-attack站点击按钮『点击送话费』时,居然可以带着你在no-csrf-token的cookie所有信息(包括session id)对no-csrf-token站发送重置密码的请求,这样你的密码就被恶意重置了。我测试了主流的几个浏览器都可以这样攻击,所以csrf防御仍旧需要,而且表单中csrf token是目前主流做法,因为攻击者不能通过iframe打开被攻击页面,更加拿不到csrf token。当然如果服务端nginx不设置\u0026#39;X-Frame-Options\u0026#39; 为 \u0026#39;SAMEORIGIN\u0026#39;,那么csrf防御就是个笑话了。.
■网友
浏览器无法阻止crsf攻击。
■网友
【现在浏览器这么安全】......这真的不是钓鱼贴?
推荐阅读
- 电饭锅内部铺一张纸,想不到这么厉害,大多人都不懂,早学早受益
- 切块生姜放水里,7天发芽,3个月结出一桶姜,原来生姜是这么种的
- 电动车|这个月,原来小编们这么拼
- 耻骨|韧带痛、耻骨也痛,从来没有这么痛过,痛了两个多星期了!”厦门孕妈崩溃:“孕晚期各种不舒服
- OC为何跌出语言榜前十
- 坐标合肥,请问在哪里能捕捉到程序员这种生物他们大都出现在哪里呢
- 现在在线学习视频有很多了,为啥大部分人还是喜欢下载下来观看
- dart这编程语言现在发展怎么样了,语法与Java,c#很相似,甚至更简洁
- 为啥到现在你还没有女朋友 ?
- 白皮书一般是政府发布的正式报告或文件,那么现在物联网、智慧城市等热门领域这么多企业发布的白皮书算咋回事呢