मैं सीएसआरएफ से एक एप्लिकेशन (PHP और जेएस के बहुत सारे) की रक्षा करने की कोशिश कर रहा हूं।एंटी-सीएसआरएफ टोकन और जावास्क्रिप्ट
मैं टोकन का उपयोग करना चाहता हूं।
AJAX के साथ बहुत से ऑपरेशन किए जाते हैं, इसलिए मुझे जावास्क्रिप्ट में टोकन पास करना होगा। यदि मैं प्रति सत्र 1 टोकन जेनरेट करना चाहता हूं या प्रति पृष्ठ लोड करना चाहता हूं तो यह आसान है - मैं नया टोकन जेनरेट करता हूं, इसे कहीं डीओएम में डालता हूं और फिर इसे जावास्क्रिप्ट से ढूंढता हूं और प्रसंस्करण पक्ष को भेजता हूं।
लेकिन अगर मैं हर ऑपरेशन के लिए नया टोकन उपयोग करना चाहता हूं तो क्या होगा? मैं टोकन को पुन: उत्पन्न करने के लिए अजाक्स कॉल करने के बारे में सोच रहा था और फिर परिणाम को प्रसंस्करण पृष्ठ पर पास कर रहा था।
क्या इससे सुरक्षा जोखिम बढ़ता है? मैं उपयोगकर्ता को स्क्रिप्ट के साथ पेज पर लुभाने के बारे में सोच रहा था जो टोकन के लिए पूछेगा और उसके बाद अनुरोध करने के लिए इसका उपयोग करेगा लेकिन फिर डोमेन को पार कर जाएगा जावास्क्रिप्ट को प्रतिबंधित किया गया है। क्या यह फ़्लैश के साथ किया जा सकता है?
शायद सीएसआरएफ से AJAX कॉल की सुरक्षा के लिए एक और तरीका?
धन्यवाद!
कस्टम http शीर्षलेख जोड़ना मुझे परेशान करता है, मुझे पूरा यकीन है कि आप कस्टम http शीर्षलेखों को फ्लैश के साथ फोर्ज कर सकते हैं और किसी अन्य सर्वर के अनुरोध को बंद कर सकते हैं, हेडर तत्व ब्लैकलिस्ट पर नहीं है। मैंने हालिया परिवर्तनों को फ़्लैश (पिछले 3 महीनों के भीतर) में देखा है और उन्होंने "क्रॉस साइट फ़ाइल अपलोड" हमलों के लिए आवश्यक संपूर्ण पोस्ट सेगमेंट को नियंत्रित करने की क्षमता तय की है। इसके अलावा मुझे लगता है कि यह अच्छी जानकारी है और मैंने आपको +1 दिया है। – rook
हाँ, यहां ब्लैकलिस्ट है, बेशक रेफरर की अनुमति नहीं है, लेकिन सचमुच बाकी सब कुछ है। http://kb2.adobe.com/cps/403/kb403030.html – rook
@ द रूक - रे। कस्टम हेडर जोड़ना - http://www.adobe.com/devnet/flashplayer/articles/flash_player_10_security.pdf देखें। विशेष रूप से, "शीर्षलेख भेजने की अनुमति" शीर्षक वाला अनुभाग देखें। मैं उद्धृत करता हूं 'जब एक एसडब्ल्यूएफ फ़ाइल कस्टम HTTP हेडर को अपने मूल मेजबान के अलावा कहीं भी भेजना चाहती है, तो HTTP सर्वर पर एक पॉलिसी फाइल होनी चाहिए जिस पर अनुरोध भेजा जा रहा है। याद रखें http://stackoverflow.com/questions/2609834/gwt-rpc-does-it-do-enough-to-protect-against-csrf? यही वह जगह है जहां मैंने इस तथ्य को कठिन तरीके से सीखा .. –