V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Tang
V2EX  ›  Java

对于企业应用使用Forti fy工具扫描静态代码检测出来的CSRF警告问题,大家一般是怎么处理的?

  •  
  •   Tang · 2014-01-16 21:19:34 +08:00 · 4371 次点击
    这是一个创建于 3993 天前的主题,其中的信息可能已经有所发展或是发生改变。
    CSRF 的介绍在 https://www.fortify.com/vulncat/zh_CN/vulncat/html/csrf.html

    Forti fy好像会对每一个HTTP请求/表单检测出提示如下的警告:XXXX HTTP请求(表单发布)必须包含用户特有的机密,防止攻击者发出未经授权的请求。
    对于那些是GET方式的请求,也有如此的警告,请问大家一般怎么处理来消除这类警告的呢?

    难道需要对每个表单加上csrfToken,每个请求的url加上token才能解决吗?HTTP GET链接增加这样的随机字符串感觉饿很难看啊
    2 条回复    1970-01-01 08:00:00 +08:00
    wangyongbo
        1
    wangyongbo  
       2014-01-16 21:55:24 +08:00
    我觉得如果是企业内部人自己用的,就算了吧。
    如果是面向其他人的,那还是得改一下。如果某个操作很重要,比如可以修改,添加,删除用户的一些信息。那么这个请求应该是 用上csrf token的。否则是有安全问题的。即使难看 也得加上呀。

    如果一个请求 只是请求一些资源,不会修改任何东西,我觉得就不用加了。
    mengzhuo
        2
    mengzhuo  
       2014-01-16 23:42:49 +08:00
    GET在程序上应该是个安全操作,安全操作不需要CSRF。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3480 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 00:53 · PVG 08:53 · LAX 16:53 · JFK 19:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.