0
私はdjango csrf_tokenの保護について検討していますが、どのように動作するかについてはわかっていますが、依然として質問したいことがあります。例えば、httpリクエストでは、攻撃者がユーザーのネットワークトラフィックをすべて盗聴できる場合、つまり、攻撃者はまだcsrf_tokenを取得し、有効なcsrf_tokenで偽のリクエストを行うことができます。前述したように、JSON WEB TOKENについては疑問がありますが、攻撃者がユーザーのTOKENを取得しても、依然として偽の要求を行うことができます。私の例の記述が正しいかどうか説明していただけますか?もしそうなら、私たちはこれを処理するために何ができますか?「Man In Middle Attack」は中断できますか?CSRF_TOKEN保護?
セキュリティスタックExchangeサイト –
はい、これを確認する必要があります。人の中の人があなたのすべてのトラフィックを読む(または傍受する)ことができれば、彼らは認証の秘密に行き、あなたのふりをすることができます。 CSRFやJWTトークンはそれを妨げません。そして、証明書の検証でHTTPSを使用することで(それによってあなたが誰と話しているかを知ることができます)それを処理します。 – Thilo