CSRF en la página de inicio de sesión

Question

CSRF en la página de inicio de sesión

#1 de Neil Smithline (3 votos)

5

Tengo un token CSRF en la página de inicio de sesión, que funciona como se esperaba. Entonces, cuando el usuario tiene la página de inicio de sesión abierta durante mucho tiempo (el token ha caducado en segundo plano). Cuando ingresan sus credenciales de inicio de sesión correctamente, les dice que la acción no es válida porque el token ha caducado y los redirige a la página de inicio de sesión, donde ahora pueden ingresar con éxito.

Creo que el comportamiento es el esperado, porque el token CSRF se ha vuelto obsoleto y una acción explícita ha buscado el token correcto. Los usuarios lo odian porque necesitan ingresar la información de inicio de sesión dos veces.

¿Algún consejo? Esto parece ser un problema muy común con CSRF en una página de inicio de sesión que permanece ahí por mucho tiempo ...

Gracias y aprecio cualquier ayuda.

csrf

pregunta Mulder 25.03.2016 - 00:49

fuente

1 respuesta

Lea otras preguntas en las etiquetas csrf

mensaje de texto para restablecer la contraseña en lugar de un código ¿Cómo lidiar con el agotamiento de ancho de banda UDP DDoS ataques?

score 3 · Answer 1

Opción 1) Haga que el inicio de sesión sea una operación de dos páginas. Nombre de usuario en la primera página, contraseña en la siguiente. No es necesario tener protección CSRF en la página de nombre de usuario. Los usuarios entenderán un tiempo de espera en la página de contraseña.

Opción 2) Tener algún JavaScript que muestre una cuenta regresiva si la página está abierta demasiado tiempo. Si se agota el tiempo de espera, deshabilite el formulario de inicio de sesión y ponga un aviso para que el usuario se actualice antes de continuar.