L'acronimo CSRF si riferisce a token o all'attacco stesso?

Naviga le tue risposte
1

Sono davvero confuso da cosa sia CSRF. So che è sinonimo di falsificazione delle richieste tra i siti. link

Quando lo leggi qui, si parla di un attacco di contraffazione della richiesta cross site. Ma a volte le persone lo usano per riferirsi alla stringa o al token randomizzato generato dal server per assicurarsi che ogni richiesta provenga dall'emittente corretto.

Se si tratta di un token, la mia comprensione è che può essere memorizzato in un cookie o in un'intestazione http. Quando è memorizzato in un cookie, il nome del token deve essere sempre lo stesso? C'è lo standard nome del token che dovrei cercare come CSRF =! @ # (@! # @ (! # JIJ @ # KLJKLJLJ. Nella mia particolare applicazione vedo __RequestVerificationToken_ seguito da un gruppo di caratteri casuali. ? Puoi nominare il nome del token CSRF in qualsiasi modo?

PS: Quindi immagino che le persone possano usare il token CSRF o l'attacco CSRF per distinguere tra i due. Ma se usano solo CSRF a quale si stanno realmente riferendo?

    
posta DoodleKana 22.08.2014 - 17:53
fonte

1 risposta

3

CSRF è l'attacco. Una contromisura dell'attacco sta implementando i token CSRF. Questi token hanno lo scopo di impedire il funzionamento degli attacchi CSRF. Se qualcuno dice semplicemente "CSRF" probabilmente stanno parlando dell'attacco, ma dovrai determinarlo dal contesto in cui viene usato.

La tua applicazione (o framework in alcuni casi) è ciò che deve sapere quale token CSRF aspettarsi. Quindi il nome del cookie o del parametro non è importante purché la tua app sappia di cosa si tratta. Non c'è un nome standard che deve essere usato.

Ecco un'altra domanda domanda e risposta sulla prevenzione di CSRF che ti fornisce indicazioni su come risolvere il problema.

    
risposta data 22.08.2014 - 18:01
fonte

Leggi altre domande sui tag

È in esecuzione un nodo TOR dal dispositivo nella rete domestica sicuro? Modifica richiesta API