5
Czy powinienem mieć krótki okres ważności dla mojego tokenu CSRF, czy mogę go mieć na czas sesji?Jak długo powinno trwać życie tokena CSRF?
A
Odpowiedz
4
Token CSRF nie jest tokenem dostępu i nie ma takiego życia jak tokeny na okaziciela. Są generowane przy użyciu informacji o sesji.
csrf_token = HMAC(session_token, application_secret)
CSRF dodaje dodatkowe informacje na prośby, które pozwala zweryfikować żądania serwer pochodzi z autoryzowanego lokalizacji.
Wpływa tylko żądania, gdzie informacji autoryzacji jest wysyłany automatycznie przez przeglądarkę (cookie uwierzytelniania lub podstawowy/strawić schemacie)
+0
Nie muszą być związane z sesją. Może również dotyczyć pojedynczych zgłoszeń. –
+0
Dlaczego generowanie obejmuje informacje o sesji? Dlaczego nie użyć całkowicie losowej wartości? I to jest informacja o uwierzytelnieniu, a nie o autoryzacji. – Gumbo
+0
Tak, zachowaj ochronę identyfikatora sesji. Nie wystawiaj go niepotrzebnie. – SilverlightFox
Powiązane problemy
- 1. Przekazywanie tokena csrf na pasek
- 2. admin django login nagle wymagający tokena csrf
- 3. Szyny authenticity_token na formularzu vs CSRF tokena
- 4. Formularz bez tokena CSRF: jakie są zagrożenia
- 5. Czy potrzebuję tokena CSRF dla jQuery .ajax()?
- 6. Ochrona CSRF w celu odświeżenia tokena Cookie w SPA
- 7. Jak długo printf długo
- 8. Jak token zapobiega atakowi csrf?
- 9. Odświeżanie tokenów w oauth2 nie powinno być zastępowane przy otrzymywaniu nowego tokena dostępu
- 10. Życie Zakres zmiennej tymczasowej
- 11. Jakie jest życie S "..." w Forth?
- 12. C++ podwójnie długo długo
- 13. Jak zadeklarować życie za argument zamknięcia
- 14. Wiosna - Poradniki kontra prawdziwe życie
- 15. życie nowego obiektu bez odnoszenia
- 16. Ajax, CSRF i DELETE
- 17. Czy wygasają żetony antyfirmatorskie ASP.NET MVC CSRF?
- 18. Sztuczne życie z sieciami neuronowymi
- 19. ReRegisterForFinalize SuppressFinalize przykład prawdziwe życie
- 20. Zapobieganie CSRF?
- 21. Jak długo trwa pakiet?
- 22. JWT odśwież przepływ tokena
- 23. Przechwytywacz tokenów Struts2: ochrona CSRF
- 24. Używanie tokena sesji lub nonce dla Cross-site Request Forgery Protection (CSRF)?
- 25. Laravel 5 i Internet Explorer: Niezgodność tokena
- 26. OAuth 2.0 Generowanie tokena i tajnego tokena
- 27. QPushButton() powinien reagować tak długo, jak długo jest wciśnięty
- 28. Jak długo jest zbyt długo na pakiet testowy?
- 29. Czy <'a, 'b: 'a> oznacza, że życie "b musi przeżyć całe życie"?
- 30. Jak długo należy obliczać zachowane rozmiary w wizualnej maszynie wirtualnej dla sterty 1 GB?
jeśli trwa życie sesji, a następnie, jeśli zostanie skradziony, to sprawa być nadużywane do życie tej sesji ... powinno to być jednorazowe użycie –
Nie @MarcB. Cechą wyróżniającą token CSRF jest to, że nie jest to plik cookie, a więc nie jest wysyłany automatycznie na każde żądanie. Czas trwania sesji jest w porządku. [Ta odpowiedź] (http://stackoverflow.com/a/30539335/721263) poniżej sprawdziła się. –
Powiązane pytanie: [ochrona CSRF: czy musimy generować token dla każdego formularza?] (Http://stackoverflow.com/q/8655817/53114) – Gumbo