如何解决我是否需要没有用户或登录的CSRF保护?
我正在构建一个Django应用程序,人们可以在其中注册事件。每个人都可以注册,没有用户帐户或登录名,即没有身份验证。通过一封带有链接的电子邮件进行验证,必须单击链接才能激活注册。 我不确定是否需要为这些表单启用CSRF保护。归结为以下问题: 对于每个POST请求(不离开域)还是仅对于登录用户的POST请求,都需要CSRF保护吗?
使用CSRF攻击可以做什么?我知道您可以使用它来规避相同的原始策略并以用户名发布任何您想要的内容,但是您还可以使用它来更改用户的真实帖子或窃取他们的数据吗?如果恶意站点可以学习该数据,则用户发布或静默更改其请求,这就是我使用它的原因。如果这仅意味着另一个网站可以创建其他注册,则不能,因为其他所有人也可以。 (我知道只是在任何地方使用它都不会花费太多,实际上我可能会这样做,但是我正在努力更好地理解原理)
解决方法
CSRF攻击依赖于以下事实:浏览器将发送给您的信息来识别用户(通常是cookie)以及对您站点的请求,甚至包括由第三方触发的请求(例如恶意脚本)。
如果您没有用户,也没有向浏览器发送任何此类信息,则您的应用程序不会受到CSRF的威胁。
,与其他答案相反,CSRF从根本上讲不是关于发送cookie。 CSRF是关于另一个网站能够让用户访问它的网站向您的应用程序发送请求。如果有会话,则必须通过cookie之类的会话才能成功,因为例如cookie会自动发送。但是,还有其他形式的身份验证会自动发送,例如客户端证书。
如果没有身份验证,甚至可以更轻松地进行请求。在您的情况下,这听起来也像个问题。
另一个网站可以做的是,如果用户访问它们,他们可以让该用户在您的应用程序中执行操作。例如,他们可以让他们注册一个事件,而无需通知他们。否则,恶意网站可能会从事件中注销人们的注册。他们可以在受害者网站不知道的情况下,以受害者用户的名义在受害者网站上进行任何操作,只要让受害者访问恶意网站即可。
因此,换句话说,该问题并不是其他网站可以在您的应用程序中执行操作-如果没有身份验证,他们也可以在启用CSRF的情况下执行此操作。但是,如果没有CSRF保护,他们可以使您的用户在您的应用程序中无意中执行,只需让他们访问恶意网站即可。
只有您能判断出这是否是您的问题。如果没有更多信息,我认为您应该启用CSRF保护。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。