Kapitel 23. Verteidigung gegen CSRF-Angriffe
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
In Teil II haben wir Cross-Site Request Forgery (CSRF)-Angriffe durchgeführt, die die authentifizierte Sitzung eines Nutzers ausnutzen, um in seinem Namen Anfragen zu stellen. Wir haben CSRF-Angriffe mit <a></a> Links, über <img></img> Tags und sogar über HTTP POST mit Webformularen durchgeführt. Wir haben gesehen, wie effektiv und gefährlich Angriffe im CSRF-Stil gegen eine Anwendung sind, da sie auf einer erhöhten Berechtigungsebene funktionieren und vom authentifizierten Benutzer oft nicht erkannt werden können.
In diesem Kapitel lernen wir, wie wir unsere Codebasis gegen solche Angriffe verteidigen und die Wahrscheinlichkeit verringern können, dass unsere Nutzerinnen und Nutzer einem Angriff ausgesetzt werden, der auf ihre authentifizierte Sitzung abzielt.
Kopfzeilenüberprüfung
Erinnerst du dich an die CSRF-Angriffe, die wir mit <a></a> Links erstellt haben? In dieser Diskussion wurden die Links per E-Mail oder über eine andere Website verteilt, die nicht mit dem Ziel verbunden war.
Da der Ursprung vieler CSRF-Anfragen von deiner Webanwendung getrennt ist, können wir das Risiko von CSRF-Angriffen mindern, indem wir den Ursprung der Anfrage überprüfen. In der Welt von HTTP gibt es zwei Header, die uns bei der Überprüfung des Ursprungs einer Anfrage interessieren: referer und origin. Diese Header sind ...
Get Sicherheit von Webanwendungen now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
