安全性 – 如何使用URL重写防止跨站点请求伪造(XSRF / CSRF)攻击?

可以使用多种技术来防止CSRF / XSRF.

其中一种技术是使用客户端会话唯一的令牌,客户端向服务器发送每个请求;这是在服务器端验证的.如果请求令牌和服务器端的令牌匹配,则允许请求进入应用程序,如果不匹配,则不允许进入.因此,将检测到CSRF攻击.

虽然这个技术背后的想法对我来说非常清楚,但我不确定URL重写如何帮助防止CSRF攻击?安全专家可以对此有所了解吗?

最佳答案 这是一个简短的
story,讨论URL重写.它说:

We could mitigate much of the risk of these vulnerabilities by frequently changing our URLs — not once every 200 years but once every 10 minutes. Attackers would no longer be able to exploit application vulnerabilities by mass e-mailing poisoned hyperlinks because the links would be broken and invalid by the time the messages reached their intended victims.

我猜(并且文章同意)是防止这个问题发生的总方法的一个方面.微软也有一个很好的article谈论这个.

点赞