在仅通过 HTTPS 访问的 Web 应用程序中使用反 CSRF 令牌真的有意义吗?如果是,那么如果不存在反 CSRF 令牌,那么攻击此类 Web 应用程序的可能方法是什么?
HTTPS 环境中的反 CSRF 令牌
信息安全
tls
csrf
2021-09-05 08:56:37
1个回答
是的,这确实有道理。HTTPS 无法保护您免受 CSRF 攻击。您将像针对启用 HTTP 的网站一样执行 CSRF 攻击。
查看OWASP 的 CSRF 描述以了解其工作原理。很明显,通信通道的加密与这种类型的攻击无关。
其它你可能感兴趣的问题