¿Por qué la mayoría de las aplicaciones web utilizan el token CRSF como un método de prevención en lugar de validar a través del encabezado de origen?

1

¿Por qué se descubrió el token crsf en primer lugar? Siempre se puede verificar desde la solicitud generada por el encabezado de origen

    
pregunta Ashwin 28.09.2018 - 10:54
fuente

2 respuestas

2

" el agente de usuario PUEDE usar el campo de encabezado de Origen para informar al servidor del contexto de seguridad en el que estaba el script ejecutándose cuando hizo que el agente de usuario emitiera la solicitud "

No es obligatorio que un navegador proporcione el encabezado. En ausencia de un encabezado de origen válido, ¿qué supuestos debe hacer la aplicación?

" El encabezado de la solicitud de Origen indica de dónde se origina una recuperación. No incluye cualquier información de ruta, pero solo el nombre del servidor "

Por lo tanto:

  • Su sugerencia solo brindaría protección contra ataques iniciados desde otros vhosts, no desde diferentes aplicaciones en el mismo vhost

  • hará que las solicitudes legítimas fallen si la aplicación implementa fragmentación del dominio

  • requiere que la aplicación conozca el dominio que le está prestando

Además, el soporte de origen es patchy .

Dado que proporciona un mecanismo para el seguimiento / desanonización de usuarios sin depender de la persistencia del lado del cliente, es poco probable que sea viable a largo plazo como un medio para garantizar la integridad de la sesión.

    
respondido por el symcbean 28.09.2018 - 11:13
fuente
-1

Porque modificar encabezados es fácil como extension .

Regla 1. Nunca confíes en nada del encabezado.

    
respondido por el Moonsik Park 28.09.2018 - 11:07
fuente

Lea otras preguntas en las etiquetas