对于企业应用使用Forti fy工具扫描静态代码检测出来的CSRF警告问题,大家一般是怎么处理的?
Tang · 2014-01-16 21:19:34 +08:00 · 4355 次点击这是一个创建于 3970 天前的主题,其中的信息可能已经有所发展或是发生改变。
CSRF 的介绍在 https://www.fortify.com/vulncat/zh_CN/vulncat/html/csrf.html
Forti fy好像会对每一个HTTP请求/表单检测出提示如下的警告:XXXX HTTP请求(表单发布)必须包含用户特有的机密,防止攻击者发出未经授权的请求。
对于那些是GET方式的请求,也有如此的警告,请问大家一般怎么处理来消除这类警告的呢?
难道需要对每个表单加上csrfToken,每个请求的url加上token才能解决吗?HTTP GET链接增加这样的随机字符串感觉饿很难看啊
Forti fy好像会对每一个HTTP请求/表单检测出提示如下的警告:XXXX HTTP请求(表单发布)必须包含用户特有的机密,防止攻击者发出未经授权的请求。
对于那些是GET方式的请求,也有如此的警告,请问大家一般怎么处理来消除这类警告的呢?
难道需要对每个表单加上csrfToken,每个请求的url加上token才能解决吗?HTTP GET链接增加这样的随机字符串感觉饿很难看啊
 |
1
wangyongbo 2014-01-16 21:55:24 +08:00
我觉得如果是企业内部人自己用的,就算了吧。
如果是面向其他人的,那还是得改一下。如果某个操作很重要,比如可以修改,添加,删除用户的一些信息。那么这个请求应该是 用上csrf token的。否则是有安全问题的。即使难看 也得加上呀。 如果一个请求 只是请求一些资源,不会修改任何东西,我觉得就不用加了。 |
 |
2
mengzhuo 2014-01-16 23:42:49 +08:00
GET在程序上应该是个安全操作,安全操作不需要CSRF。
|
Select Language