作者:默念我覀想你A_193 | 来源:互联网 | 2023-01-29 06:47
我在我的网络服务器上建立了一个无状态的,基于JWT的用户认证系统,遵循Stormpath的例子(https://stormpath.com/blog/where-to-store-your-jwts-COOKIEs-vs-html5-网络存储).
该设置似乎对CSRF非常安全,但我想知道GET请求是什么.
我能够通过
在来自不同域的页面上包含标记来模拟对GET请求的CSRF攻击.服务器以200状态的整页响应请求.虽然我没有更改GET请求的任何数据,但页面可能仍然包含一些敏感信息,例如,
可能会给出用户的详细信息,或者
可能只是做一些烦人的事情,我想可以有更多的例子.
这种
攻击被认为是无害的,因为浏览器不会透露它获得的回复吗?是否有任何其他滥用HTML标签的技巧,可能会通过向GET请求显示服务器输出来泄露敏感信息?
我想在JET URL中另外包含我的JWT访问令牌的哈希,并让服务器要求GET请求包含该哈希,并且它必须与COOKIE中的JWT令牌匹配.通过这种方式,攻击者将无法猜测有效的GET URL,同时泄漏此类GET URL也不允许攻击者访问我的服务器,因为他不知道来自COOKIE的原始JWT.除了轻微的可用性问题,这个设置看起来对我来说是一个好主意,但我没有用Google搜索任何类似的东西,所以我很怀疑:)