Я был thinking about this и появляется POST только немного менее уязвимым и несколько сложнее (нужно, чтобы пользователь щелкнул что-то).Использует GET с tokenID для обеспечения безопасности?
Я прочитал о лексемах идентификаторов и двойные представленных печенья и я не уверен, что разница
http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Disclosure_of_Token_in_URL http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Double_Submit_Cookies
Прямо сейчас у меня есть идентификатор пользователя (PK в моей таблице) и идентификатор сеанса поэтому вы не можете просто изменить свой идентификатор файла cookie и действовать как кто-то другой. Теперь кажется, что я поставил идентификатор сеанса как токен в каждой из моих форм и проверил их, что атакующие bc не могут угадать эти токены. Однако мне не нравится идея ввода идентификатора сеанса в страницу для просмотра ppl. Но действительно, есть ли проблема с этим? за исключением того, что у пользователя есть копия/вставка html, есть ли какие-либо атаки, которые могут произойти из-за того, что идентификатор сеанса находится в простом виде в html?
У вас есть точка со скриншотом, но я предполагал, что 1) Пользователь не передаст ключ через 2). Он не видит со ссылкой. (Скрытое значение в форме). Поскольку у меня должен быть токен в форме (для двойных отправленных куки-файлов), нет возможности скрывать его, если он должен быть частью html. Прямо сейчас, в моей реализации, я не видел его со ссылкой. – 2010-05-21 00:57:20
Я дам вам +1 bc, я никогда не думал о программном обеспечении для захвата видео или скриншотах (но я думаю, что если установлена кепка vid, кейлоггер тоже может быть). Я пересмотрю свой код, чтобы использовать сеанс и отдельный токен – 2010-05-21 00:59:20
. Я думал больше, что пользователь будет убежден, что сделает снимок экрана, или кто-то, просматривающий его плечо, может захватить идентификатор сеанса, если он находится в URL-адресе. –