我已经阅读了很多关于 CSRF 保护的文章(this is a good one)以及关于 SO 的各种问题,但它们似乎都没有提供足够的信息来回答我的问题。
我正在开发自己的 CMS,我想保护我的登录和评论表单。我将允许匿名用户在我的网站上发表评论。
我网站上的所有表格都使用 token 进行保护。我已经知道这种方法,但问题是它需要一个事件 session (即,在用户登录之后)。登录和评论表单的问题在于几乎任何人都可以访问它们并且不需要您登录 - 在这种情况下什么是防止 CSRF 的最佳保护措施?
在上面的链接中,我读到当用户尝试登录时可以创建一个“预 session ”,然后继续使用通常的反 CSRF 方法(比如为用户的 session 分配 token ) ,但我不知道如何实现这一目标。
referrer header 是一个弱解决方案,所以我想我不应该打扰。据我测试,Origin header 仅在 Google Chrome 中受支持。自定义标题呢? XMLHTTPRequest 似乎是一种可能性,但是,我确实花了三个多小时在 Google 上查找有关如何在其网站上实现此类安全措施的一些信息。但是,即使我可以使用自定义 header ,它不会因为 HTTP header 可以完全伪造而变得毫无用处吗?
那么,问题是:我应该如何保护我的登录和评论表单免受 CSRF 攻击?
编辑:这是我在上面提供的链接中的一些附加信息:
We recommend strict Referer validation to protect against login CSRF because login forms typically submit over HTTPS, where the Referer header is reliably present for legitimate requests. If a login request lacks a Referer header, the site should reject the request to defend against malicious suppression.
和
Secret validation tokens can defend against login CSRF, but developers often forget to implement the defense because, before login, there is no session to which to bind the CSRF token. To use secret validation tokens to protect against login CSRF, the site must first create a “presession,” implement token-based CSRF protection, and then transition to a real session after successful authentication.
阅读以上引述后,我无法结束这场争论。其中之一提到使用 referrer header ,但我不太确定它是否真的增加了 web 应用程序的安全性。
编辑 2:使用验证码怎么样?
最佳答案
CSRF 问题与使用登录用户凭据提交内容的人有关。这是非常有问题的,因为恶意站点可以像刚刚浏览到您站点的任何人一样做事。如果您谈论的是可以匿名使用的表单,无需登录,CSRF 风险就会小得多,因为从另一个站点发布到表单的 yield 要少得多——因为任何人都可以直接使用相同的权限进行操作.
所以我不明白为什么需要针对未登录表单防止 CSRF。
如果您确实需要, session 前 token 在技术上可能类似于真实 session ,但只是一个更轻量级的 token 。除了生成的 token 外,它实际上不会包含任何其他内容。
编辑:关于将 PHP 提供的 $_SESSION 用于预 session token ,这是 PHP 的标准 session 机制。如果您想使用它,那么是的,仅此而已。
但是,您并没有被迫那样做,我个人也不会那样做,因为它会为所有访问者消耗服务器内存,而这并不是真正需要的。对于更有效的机制,基本上您需要 a) 一个识别用户的 cookie 和 b) 存储在服务器端的东西告诉 cookie 是有效的(如果需要,它对谁有效,即 ip)。对于更轻量级的方法,您可以只创建一个 token ,将其存储在 cookie 中,并在表单中生成与该 token 匹配的东西作为隐藏字段,并匹配提交时的那些(如 Devesh 所解释的)。后者会阻止从另一个站点提交表单,前者甚至会阻止恶意站点在您的站点上进行查找并尝试为最终用户设置任何 cookie 的情况。所以我能想到的三种方法:
EDIT2:在验证码上,它们的主要用例是防止自动(暴力)登录尝试。他们也会解决登录表单上 CSRF 请求的问题,但这样做有点矫枉过正。为了防止暴力登录攻击,在某些情况下可能需要它们,尽管为了不过度降低可用性,可能需要一些对用户更友好的东西。也许像 KittenAuth :)
关于php - 保护登录和评论表单免受 CSRF,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15632700/
我得到了一个包含嵌套链接的表单。编辑时链接字段为空的问题。这是我的表格:Editingkategori{:action=>'update',:id=>@konkurrancer.id})do|f|%>'Trackingurl',:style=>'width:500;'%>'Editkonkurrence'%>|我的konkurrencer模型:has_one:link我的链接模型:classLink我的konkurrancer编辑操作:defedit@konkurrancer=Konkurrancer.find(params[:id])@konkurrancer.link_attrib
我有一个服务模型/表及其注册表。在表单中,我几乎拥有服务的所有字段,但我想在验证服务对象之前自动设置其中一些值。示例:--服务Controller#创建Action:defcreate@service=Service.new@service_form=ServiceFormObject.new(@service)@service_form.validate(params[:service_form_object])and@service_form.saverespond_with(@service_form,location:admin_services_path)end在验证@ser
我意识到这可能是一个非常基本的问题,但我现在已经花了几天时间回过头来解决这个问题,但出于某种原因,Google就是没有帮助我。(我认为部分问题在于我是一个初学者,我不知道该问什么......)我也看过O'Reilly的RubyCookbook和RailsAPI,但我仍然停留在这个问题上.我找到了一些关于多态关系的信息,但它似乎不是我需要的(尽管如果我错了请告诉我)。我正在尝试调整MichaelHartl'stutorial创建一个包含用户、文章和评论的博客应用程序(不使用脚手架)。我希望评论既属于用户又属于文章。我的主要问题是:我不知道如何将当前文章的ID放入评论Controller。
这是一个基本问题.gemrc文件中是否允许注释?如果是,你会怎么做?我这里查了没用docs.rubygems.org/read/chapter/11 最佳答案 文档说:Theconfigfileitselfisin’’’YAML’’’format.这意味着您可以拥有commentsstartingwith#,例如:#Ilikedocsrdoc:--inline-source--line-numbers 关于ruby-.gemrc评论?,我们在StackOverflow上找到一个类似的问题
我在事件管理员编辑页面中有嵌套资源,但我只想允许管理员编辑现有资源的内容,而不是添加新的嵌套资源。我的代码看起来像这样:formdo|f|f.inputsdof.input:authorf.input:contentf.has_many:commentsdo|comment_form|comment_form.input:contentcomment_form.input:_destroy,as::boolean,required:false,label:'Remove'endendf.actionsend但它在输入下添加了“添加新评论”按钮。我怎样才能禁用它,并只为主窗体保留f.ac
我需要从站点抓取数据,但它需要我先登录。我一直在使用hpricot成功地抓取其他网站,但我是使用mechanize的新手,我真的对如何使用它感到困惑。我看到这个例子经常被引用:require'rubygems'require'mechanize'a=Mechanize.newa.get('http://rubyforge.org/')do|page|#Clicktheloginlinklogin_page=a.click(page.link_with(:text=>/LogIn/))#Submittheloginformmy_page=login_page.form_with(:act
我目前正在尝试将ERB布局转换为HAML。这是我不断收到的错误:index.html.haml:18:syntaxerror,unexpected')'));}\n#{_hamlout.format_...这是HAML页面:.row-fluid.span6%h2TodoList.span6%h2{:style=>"text-align:right;"}document.write(today)%hr.divider.row-fluid.span6%h2.small_headNewTask=render:partial=>'layouts/form_errors',:locals=>{:
为现有模型生成单个文件(_form.html.erb)的命令是什么?在Rails3中工作。谢谢。 最佳答案 这听起来可能很傻,但请听我说完……当我想开始清洁时,我自己也做过几次这样的事情。以下是一个脚本,它将读取您的模式并生成必要的生成命令来重现它:require'rubygems'require'active_support/core_ext'schema=File.read('db/schema.rb')schema.scan(/create_table"(\w+)",.*?\n(.*?)\nend/m).eachdo|name
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visitthehelpcenter指导。关闭9年前。我来自C、php和bash背景,很容易学习,因为它们都有相同的C结构,我可以将其与我已经知道的联系起来。然后2年前我学了Python并且学得很好,Python对我来说比Ruby更容易学。然后从去年开始,我一直在尝试学习Ruby,然后是Rails,我承认,直到现在我还是学不会,讽刺的是那些打着简单易学的烙印,但是对于我这样一个老练的程序员来说,我只是无法将它
我不想显示表单,但前提是当前页面不是主页这是我目前所拥有的...我有我的路线设置:root'projects#index'我的看法:'projects',:action=>'index'))%>showsomestuff如果url是localhost:3000/projects,则不会显示但是它显示了它的localhost:3000所以我需要以某种方式确保它不会显示主页。另外,我有主页的搜索参数,但我仍然不想显示它是否像localhost:3000/projects?search=blahblahblah 最佳答案 使用root_p
