1
Tomcatは、URLにトークンを付加するCSRFフィルタをサポートしています。これはトークンを公開していませんか?これは安全な解決策ではないようです。私は正しいですか?URLにトークンを公開するTomcat CSRFフィルタを使用しても安全ですか?
A
答えて
1
CSRF攻撃は、サーバーからクライアントへのトラフィックを傍受しません。これは、クライアント上の資格情報をピギーバックし、サーバーにメッセージを送信します。 CSRFトークンの
通常の使用:
- サーバはCSRFトークンを生成し、それをクライアントに送信します。
- クライアントはURLの一部として(クッキー/パラメータではなく)CSRFトークンを受け取ります。
- クライアントは、CSRFを使用して要求を返します。 CSRF攻撃で
:
- 攻撃者は、偽造ウェブサイトで偽造要求を生成します。これにはCSRFキーが付いていません。
- クライアントは、偽造されたWebサイトを通じて偽造要求を開始します。
- CSRFキーが攻撃者によって認識されず、要求を提供しなかったため、要求がサーバーで失敗します。
CSRF攻撃の攻撃者は、外部サイトからの応答を偽造するだけで、要求/応答を傍受してはいけません。攻撃者がCSRFキーを傍受している場合、攻撃者はクロスサイト攻撃ではありません。
仲介者がCSRFトークンを見ることができるのは、仲介攻撃を止めるように設計されていないためです。
関連する問題
- 1. MongoDB:文書のIDを「公開」しても安全ですか?
- 2. ファブリックAPIキーを公開しても安全ですか?
- 3. gpg公開鍵を使用してファイルの名前を変更しても安全ですか?
- 4. 公開情報を公開ディレクトリに保存するのは安全ですか?
- 5. 開いているリンクを使用しても安全ですか
- 6. Azureに安全に公開する
- 7. 公開RESTコンテキストでsymfonyのフォームのCSRFトークンを処理する
- 8. IEnumerableをプロパティに公開するのは安全ですか?
- 9. タグ/ボタンを公開フィルタとして使用できますか?
- 10. シンクロナイザートークンパターンを使用してCSRFを安全に保護する方法は?
- 11. 安全なゲートウェイを介してapiを公開する
- 12. ndbタスクレット内でimages.get_serving_url_async()を使用しても安全ですか?
- 13. Angular 5で[innerHTML]を使用しても安全ですか?
- 14. AWS Cognito IDを公開するのは安全ですか?
- 15. 例外のメッセージを公開するのは安全ですか?
- 16. android.net.sipフレームワークを使用しても安全ですか?
- 17. 静的な `Serilog.ILogger`を使用しても安全ですか
- 18. Apache commons-io IOUtils.close Quietlyを使用しても安全ですか?
- 19. cstdargを使用しても安全ですか?
- 20. Laravel 5:最も安全な方法でURLから一般公開を削除する
- 21. リッチテキストフィールド用のDjangoで安全なフィルタを使用する
- 22. 私のコードを安全にする方法は? - 非公開vs.公開
- 23. SEF URLのmod_rewriteに頼っても安全ですか?
- 24. csrfトークンの使用
- 25. Javascriptに「安全でない公開」がありますか?
- 26. CSRFトークンを使用してLaravel APIにPOSTする方法は?
- 27. アプリケーションのAPIを通じてElasticsearch Search APIを直接公開しても安全ですか?
- 28. csrfトークンでワイルドカードCORSを使用しても構いませんか?
- 29. 公開鍵/秘密鍵を安全にデータベースに格納する
- 30. ライブストリームをAdobe Flash Media Serverに安全に公開する方法