1
웹 앱에 양식이 없습니다 (웹 서버의 모든 양식 요청을 사용할 수 없음). URL에 일부 GET 매개 변수가있는 공용 URL이 거의 없습니다. 로그인이 없으며 쿠키를 사용하지 않습니다.공개 URL에 대해 CSRF 보호가 필요합니까?
이 웹 앱에 대해 CSRF 보호가 필요합니까?
A
답변
1
XSRF 또는 CSRF 보호는 쿠키를 사용하는 도메인에만 필요합니다. 귀하의 사이트에 대한 모든 요청은 귀하가 관리하지 않는 웹 페이지로부터의 요청 일지라도 귀하의 쿠키를 전달합니다. 서버에서 상태를 수정할 때 가장 중요하지만 상태가 변경되지 않은 경우에도 유용 할 수 있습니다.
http://j.mp/learn-xsrf에는 XSRF에 대한 간단한 자습서와이를 피하는 방법이 포함되어 있으므로 실제로 사용해 볼 수 있습니다.
상태 변경 요청이없는 XSRF 취약점이있는 곳의 예는 사용자가 자신의 사이트임을 확인하는 이미지가있는 경우입니다. 일부 은행에서는이 작업을 수행하며 이미지는 각 사용자마다 다릅니다. 그러나 해당 이미지가 쿠키에 종속적 인 정적 URL과 함께 제공되는 경우 XSRF에 취약하며 공격자의 사이트에서 쉽게 호스팅 할 수 있습니다. URL에 XSRF 토큰을 포함시켜 문제를 피할 수 있습니다. (각 사용자마다 다른 URL을 사용하는 것만으로는 충분하지 않습니다.)
+1
이 답변을 수락하지 않은 이유가 있습니까? – Vroo
서버 상태가 변경되지 않거나 특정 권한이 필요한 데이터를 공개하지 않는 경우 (공개되지 않았기 때문에 가능하지 않음), 보호 기능이 없습니다 필요합니다. – nhahtdh