blocks|key|4646580|text|如果您能够将脚本代码注入到目标页面(XSS)中，那么可以这样做，从而使CSRF预防无效。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|4646581|CSRF令牌必须存储在最终用户接收的页面中(否则他也不会知道)。|4646582|事实上，在安全评估中，XSS通常不是评估其自身的破坏潜力，而是评估其在此类攻击中的使用情况。|4646583|entityMap^0|0|0|0^^$0|@$1|2|3|4|5|6|7|H|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|I|8|@]|9|@]|A|$]]|$1|D|3|E|5|6|7|J|8|@]|9|@]|A|$]]|$1|F|3|-4|5|6|7|K|8|@]|9|@]|A|$]]]|G|$]]

If you are able to inject script code into the target page (XSS) then yes, you can do that thus rendering the CSRF prevention useless.

The CSRF token has to be stored in the page the end-user receives (or he won't know it either).

In fact, in security assessments, XSS usually evaluated not for its own damage potential but for its use in just such attacks.

blocks|key|1027446|text|CSRF攻击是盲目的。它们执行会话骑乘，攻击者无法直接控制，除非他可以通过XSS漏洞提取令牌。通常可以使用会话范围内的令牌。每个请求轮换令牌可能是一种过度杀伤力，并可能导致错误警报。我更喜欢将每个资源的令牌与主会话令牌一起使用。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|1027447|entityMap^0|0^^$0|@$1|2|3|4|5|6|7|D|8|@]|9|@]|A|$]]|$1|B|3|-4|5|6|7|E|8|@]|9|@]|A|$]]]|C|$]]

CSRF attacks are blind. They do session riding and the attacker has no direct control unless he can extract the token via an XSS vulnerability. Normally a session wide token can be used. Rotating tokens per request might be an overkill and could lead to false alarms. I prefer to use tokens per resource with a master session token.

blocks|key|4646547|text|因为CSRF标记的值事先是不知道的。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|4646548|entityMap^0|0^^$0|@$1|2|3|4|5|6|7|D|8|@]|9|@]|A|$]]|$1|B|3|-4|5|6|7|E|8|@]|9|@]|A|$]]]|C|$]]

Because the value of the CSRF token isn't known in advance.

blocks|key|863114|text|对于每个用户和每个请求，CSRF令牌都应该是完全不同的令牌，所以攻击者永远不会猜到它。|type|unstyled|depth|inlineStyleRanges|entityRanges|data|863115|对于php，.net和javascript看看OWASP+CSRFGuard+Project+-如果你正在使用java和JSF+2.x，它已经保存了CSRF+(只要你使用POST而不是GET+-为此，你将不得不等待JSF2.2)否则，如果你不使用JSF，来自OWASP+ESAPI的HTTPUtillities+Interface也会非常有帮助！|offset|length|863116|entityMap|0|LINK|mutability|MUTABLE|url|https://www.owasp.org/index.php?title=Category%253aOWASP_CSRFGuard_Project|1|http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.html^0|0|N|N|0|3X|O|1|0^^$0|@$1|2|3|4|5|6|7|P|8|@]|9|@]|A|$]]|$1|B|3|C|5|6|7|Q|8|@]|9|@$D|R|E|S|1|T]|$D|U|E|V|1|W]]|A|$]]|$1|F|3|-4|5|6|7|X|8|@]|9|@]|A|$]]]|G|$H|$5|I|J|K|A|$L|M]]|N|$5|I|J|K|A|$L|O]]]]

The CSRF token should be everytime for every user and for every request a totally different token, so it can never be guessed from an attacker. 

For php, .net and javascript have a look in the <a href="https://www.owasp.org/index.php?title=Category%3aOWASP_CSRFGuard_Project" rel="nofollow">OWASP CSRFGuard Project</a> - if you are working with java and jsf 2.x its already save against CSRF (as long as you use POST and not GET - for this you will have to wait for JSF 2.2) else if you work without JSF the <a href="http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/HTTPUtilities.html" rel="nofollow">HTTPUtillities Interface</a> from the OWASP ESAPI could be also very helpful!

There are quite a lot written about <a href="http://www.google.com/search?q=preventing%20%28XSRF%20OR%20CSRF%29" rel="noreferrer">preventing CSRF</a>.

But I just don't get it: why I can't just parse the csrf token in the target page form and submit it with my forge request?

csrf protection

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

有相当多关于的文章。但我就是不明白:为什么我不能解析目标页面表单中的csrf令牌，并将其与我的forge请求一起提交？

问csrf保护
EN

回答 4

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问csrf保护EN

回答 4

Stack Overflow用户

Stack Overflow用户

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问csrf保护
EN