Wird diese Idee funktionieren? Es scheint ziemlich dumm, weil meine App einfach überprüft, dass der Browser zwei Kopien der gleichen Information (dh der Sitzungsschlüssel) gesendet hat.Können Sie XSRF verhindern, indem Sie den Sitzungsschlüssel in die Parameter aller POST-Anfragen aufnehmen?
Auch die Erinnerung daran klingt sehr mühsam. Haben Web-Frameworks wie Rails und CakePHP Dinge, die das Schreiben von XSRF-sicheren Web-Apps erleichtern?
Angenommen, der Sitzungsschlüssel ist nicht geleakt (was passieren könnte, wenn Ihr PHP schlecht konfiguriert ist und session.use_trans_sid verwendet) und Sie sind nicht anfällig für Angriffe zur Sitzungsfixierung, ja, das ist sicher. Dies liegt daran, dass ein Request-Forger Ihre Cookies nicht lesen kann und daher nicht den korrekten Wert kennt.
Sie könnten daran interessiert sein, CSRF Magic, die Ihnen erlaubt, Ihre Anwendung durch die Aufnahme einer einzigen Datei zu schützen.
Danke, Hinterhalt Commander! Wenn mein Sitzungsschlüssel durchgesickert ist, werde ich nicht viel größere Probleme haben? Ich dachte, der Sinn von XSRF war, dass ein Angreifer es benutzt, weil er keinen Zugriff auf solche Sachen hat. – allyourcode
Ist das, was ich vorgeschlagen habe eine gemeinsame Technik? – allyourcode
Ich habe gerade über die Sicherheitskomponente in CakePHP erfahren. Es hat einen Mechanismus, der Cross Site Request Forgery stoppt: http://book.cakephp.org/view/175/Security-Component – allyourcode