检测到跨站点请求伪造(CSRF)时应发回什么响应 [英] What Response Should Be Sent Back a When Cross-Site Request Forgery (CSRF) is Detected

问题描述

检测到跨站点请求伪造(CSRF)时，我应该发回什么响应？

有一个扫描工具我拿不到，那就是说我的一个页面没有受到保护CSRF。但它是。我返回的响应是一个正常的202，并带有一句"请求无法处理"。就是这样，没有任何有用的信息被发送回攻击者，并且我记录了该尝试。但该软件表示，它仍然容易受到CSRF的影响。我可以很容易地自己运行测试并弄清楚它，但扫描和测试之间的时间很长，我无法获得相同的软件，这就是为什么我要求Stackoverflow，这样我就有希望在下一次预定的扫描中完成它。我正在考虑发回404或410的statusCode，而不是202。http://www.cfgears.com/index.cfm/2009/8/11/cfheader-404-status-codes-and-why-you-shouldnt-use-them

检测到CSRF时，您建议发回什么内容？

推荐答案

403 Forbidden因为用户在技术上被授权访问站点，所以只禁止特定的操作(没有正确的csrf令牌的HTTPPOST)。

Web服务器可以响应来自客户端的对网页或资源的请求而返回403禁止的HTTP状态代码，以指示可以到达服务器并理解该请求，但拒绝采取任何进一步的操作。状态代码403响应是Web服务器由于某种原因被配置为拒绝访问客户端请求的资源的结果。

请记住，攻击者将无法读取此响应，并且在大多数情况下，用户将看不到消息或HTTP响应，因为CSRF攻击的设计不会让受害者明显地看到它正在发生。如果你有一个有效的CSRF机制，你的网站无论如何都不太可能受到这种方式的攻击-防御也是威慑。

这篇关于检测到跨站点请求伪造(CSRF)时应发回什么响应的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！