잠재적 인 CSRF 공격을 막기 위해 사용되는 브라우저 (있는 경우)를보기 위해 사용자 에이전트 헤더를 사용한다고 가정합니다. 사용자 에이전트 헤더가 필요없는 무수히 많은 CSRF 방어 시스템이 있다는 것을 알고 있지만 사용자 에이전트 헤더가 얼마나 안전한지 알고 싶습니다. CSRF 공격자가 원하는대로 수정할 수 있습니까?CSRF 공격 : 자바 스크립트를 사용하여 사용자 에이전트 헤더를 수정할 수 있습니까?
오리진 헤더와 리퍼러 헤더가 forbidden headers이기 때문에 그러한 수정으로부터 잘 보호된다는 것을 알고 있습니다. 그러나 사용자 에이전트 헤더는 나타나지 않습니다.
이것은 CSRF 공격자가 사용자 에이전트 헤더를 쉽게 변경할 수 있다는 것을 의미합니까? this에 따르면, 수행 할 수 없습니다. 그러나 왜 '금단의'목록에 포함되지 않는 이유가 궁금합니다. 내가 잘못 읽고있는 것이 있습니까? Referer 및 Origin 헤더만큼 보호됩니까?
미리 감사드립니다.
사용자가 사용자 에이전트를 스푸핑 할 수 있는지 묻는 경우 대답은 '예'입니다. [매우 쉽게.] (http://www.howtogeek.com/113439/how-to-change-your-browsers-user-agent-without-installing-any-extensions/) –
해커에게 이점이 있어야합니다. 사용자 에이전트 헤더를 수정 하시겠습니까? – gus27
예, 사용자가 사용자 에이전트를 스푸핑 할 수 있습니다. 또한 원점 헤 더와 리퍼러 헤더를 스푸핑 할 수 있습니다. 그러나 CSRF 공격자는 사용자의 브라우저에 대한 제어권이 없기 때문에 원점 또는 리퍼러 헤더를 스푸핑 할 수 없습니다. 사용자 에이전트 헤더는 어떻습니까? – ineedahero