CSRF Protection con codeigniter

5

Ho pochissime conoscenze sulla sicurezza delle applicazioni. Ho visto spesso proteggere la tua applicazione dagli attacchi csrf, gli sviluppatori usano i token e passano questi token con la richiesta di convalida. Voglio sapere se convengo solo che la richiesta proviene dal mio server e rifiuta tutte le richieste provenienti da qualsiasi altro server come può essere pericoloso?

    
posta Shayan Husaini 12.07.2012 - 13:27
fonte

1 risposta

4

Non puoi sapere da dove proviene la richiesta. Certo, puoi controllare HTTP referer , ma questo ha anche implicazioni.

Molti utenti hanno impostato i loro browser per non fornire il server al referrer, in modo da ottenere i dati della spazzatura. Se non si consentono referrer vuoti si bloccheranno molte richieste legittime. Se si consentono referrer vuoti, quindi tutti quelli che hanno impostato il proprio browser per non inviare referrer possono essere vittime di CSRF.

Quindi rifiutare richieste basate su questo non ti porterà da nessuna parte.

Modifica: si chiama 'referer HTTP', un errore di ortografia del termine referrer.

    
risposta data 12.07.2012 - 15:35
fonte

Leggi altre domande sui tag