CSRF攻击黑名单

Question

我想为CSRF攻击创建一个黑名单。例如，在SQL injection中，可以在黑名单中设置select、from、where、drop等关键字。我想知道有没有可能创建CSRF攻击黑名单？

Answer 1

不完全是..。CSRF是由浏览器与真实会话发起的对真实资源的请求。以某种方式阻止它将意味着阻止合法的请求。唯一的方法是使用一些CSRF令牌并检查web应用程序中的origin/referer标头

Answer 2

除了无法为CSRF实现黑名单这一事实之外，正如daniel f.所指出的，因为根本没有独特的输入，黑名单过滤器通常是一个非常弱的控制。即使是针对SQL注入，它们通常也是不够的。由于严格的语言和相对较小的关键字集，SQL注入应该是黑名单最容易防止的注入之一。

关于SQL injection，OWASP表示：“几乎总是这样，黑名单充满了漏洞，使其在防止SQL注入攻击方面无效。”这同样适用于任何其他黑名单。

有几种方法可以防止here描述的CSRF，但列入黑名单的输入不是其中之一。