我正在做一个使用很多Ajax请求和自定义表单的网站(听到:带有字段的自定义jQuery伪造的POST请求,或简单的GET请求)。我知道Ajax和Symfony表单不是不兼容的(因为服务器看不到任何区别),但这不是问题。
我非常担心CSRF攻击,因为我的POST请求没有使用Symfony的官方方式来构建和检查表单,因此我没有自动CSRF保护。
我有两个问题:
我可以认为我的POST请求安全吗?大多数CSRF攻击都是通过img指向明智端点的标签完成的。无法通过图像伪造POST请求。唯一的方法就是JavaScript注入吗?如果使用Twig(安全的用户内容,包括HTML转义,包括安全的用户内容),则我的页面中间可能不会插入用户注入的JS。那么,我有没有危险?
无论如何,我也没有几个GET明智的端点。我要保护他们 保护相关动作最简单的方法是什么?将链接(GET参数)附加到form.csrf_provider服务生成的令牌中,然后在每个涉及到的操作的入口处进行验证?
您需要搜索CSRF并阅读更多有关它的信息。
这种类型的攻击不仅可以在<img>标记中使用(实际上,我之前从未想到过可以与一起使用<img>)。
攻击者可以创建一个表单,该表单会将后请求发送到您的服务器,并且用户将不知道该请求(如果他看不到页面的源代码)。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句