请问blade是如何预防CSRF的,原理是什么能说明一下吗?

Blade 未结 2 1474
红烧肉
红烧肉 剑者 2020-05-29 16:40

一、该问题的重现步骤是什么?

1. 请问blade是如何预防CSRF的,原理是什么能说明一下吗?

2. 

3.


二、你期待的结果是什么?实际看到的又是什么?


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

作者你好,我们公司购买的付费版,文档中我没看到关于csrf攻击的预防手段说明,您能描述一下吗?谢谢。

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。

2条回答
  • 2020-05-29 17:59

    其实管理平台不太关注这个问题。


    像某依,在cookie保存js加密这种事都能干出来,密钥怎么都得后端传递过来(js 公钥加密,后端私钥解密),而不是都放js里,而且cookie还不是设置的HttpOnly


    回到blade,blade理论上就只有登陆等少数几个接口是不需要 token 的。跨站攻击主要是另外的一个站点采用 js 或者 iframe 表单或者image等资源性质的像我们的后端接口发送请求。


    所以这里我们就得注意 cors 跨域的域名设置,不要设置成 * ,而是根据自己的实际域名设置(正式环境)。这样就能抵挡住大部分的 csrf 攻击。另外就是 xss 防御。


    blade 里面我们采用的是 localStorage 和 sessionStorage 存储 token 相关认证的敏感信息,而非 cookie,cookie 不够安全,js 进行 api 调用的时候改域名下的 cookie 会自动被携带。所以相对来说要安全得多,请不太太纠结这个问题。 



    1 讨论(0)
  • 2020-05-30 08:22

    好的,谢谢。

    0 讨论(0)
提交回复