Sono nuovo nella programmazione web. Ho letto un articolo in cui si consigliava di utilizzare i token come campo nascosto nei moduli e abbinare quel token sul server per rilevare richieste non legittime. Mi chiedo che differenza faccia, se un attaccante usa un iframe per recuperare un modulo, quella forma avrà l'ID del token generato sul server e dovrebbe essere abbinata. Ho letto l'articolo su owasp.org ma suona anche lui criptico per me.
Se l'attaccante incorpora il tuo modulo sul suo sito, stiamo parlando di un attacco molto diverso chiamato clickjacking . Un token non aiuta contro il clickjacking, hai bisogno di diversi metodi di protezione (in particolare l'intestazione X-FRAME-OPTIONS oi framebusters JavaScript).
La falsificazione delle richieste tra siti significa che l'autore dell'attacco crea il proprio proprio modulo che punta al tuo sito. Quindi l'attaccante inganna la vittima (o il browser della vittima) per inviare il modulo e intraprendere azioni per suo conto.
Un token aiuta contro CSRF, perché l'attaccante non conosce il token della vittima e quindi non può preparare una richiesta valida. Tuttavia, ci sono alcune limitazioni. Se si utilizza la protezione basata sui cookie, un utente malintenzionato potrebbe essere in grado di impostare il proprio cookie con un token noto. E le vulnerabilità di cross-site scripting generalmente infrangono tutta la protezione CSRF.
Leggi altre domande sui tag web-application