I cookie di invio doppio sono vulnerabili all'iniezione di cookie dallo stesso dominio. Cosa succede se utilizzo un'intestazione personalizzata anziché un cookie?
Esempio di richiesta HTTP:
header X-CSRF-PROTECTION = 5a445s66gg54s45a54
POST X-CSRF-PROTECTION = 5a445s66gg54s45a54, param1=aaa....
Non è più sicuro?
Modifica: ok, ero confuso, grazie ad Anders ora ho un'idea più chiara.
Vorrei evitare di inserire campi di moduli nascosti, ma voglio fornire una protezione decente.
-
Uso sempre l'interazione basata su json ajax
-
Controllo sempre che il tipo di contenuto sia "application / json"
Quindi, ciò che ho proposto prima non aggiunge sicurezza.
Potrei:
-
memorizza al momento del login un token casuale in SESSIONE e come COOKIE
-
ogni richiesta di ajax, dovrebbe leggere il cookie e impostarlo come intestazione della richiesta
-
il server può confrontare l'intestazione con il valore di sessione
A cosa pensi?