1
Tomcatは、URLにトークンを付加するCSRFフィルタをサポートしています。これはトークンを公開していませんか?これは安全な解決策ではないようです。私は正しいですか?URLにトークンを公開するTomcat CSRFフィルタを使用しても安全ですか?
Tomcatは、URLにトークンを付加するCSRFフィルタをサポートしています。これはトークンを公開していませんか?これは安全な解決策ではないようです。私は正しいですか?URLにトークンを公開するTomcat CSRFフィルタを使用しても安全ですか?
CSRF攻撃は、サーバーからクライアントへのトラフィックを傍受しません。これは、クライアント上の資格情報をピギーバックし、サーバーにメッセージを送信します。 CSRFトークンの
通常の使用:
:
CSRF攻撃の攻撃者は、外部サイトからの応答を偽造するだけで、要求/応答を傍受してはいけません。攻撃者がCSRFキーを傍受している場合、攻撃者はクロスサイト攻撃ではありません。
仲介者がCSRFトークンを見ることができるのは、仲介攻撃を止めるように設計されていないためです。