এই প্রশ্নটি কেবল ক্রস সাইটের অনুরোধ জালিয়াতির আক্রমণগুলির বিরুদ্ধে রক্ষা করার is
এটি সম্পর্কে বিশেষত: অরিজিন শিরোনাম (সিওআরএস) এর মাধ্যমে সুরক্ষা কি কোনও সিএসআরএফ টোকেনের মাধ্যমে সুরক্ষা হিসাবে ভাল?
উদাহরণ:
- অ্যালিস তার ব্রাউজারটি " https://example.com " এ লগ ইন করেছে (একটি কুকি ব্যবহার করে) । আমার ধারণা, সে একটি আধুনিক ব্রাউজার ব্যবহার করেছে uses
- অ্যালিস " https://evil.com " দেখুন, এবং অ্যাস ডটকমের ক্লায়েন্ট সাইড কোড " https://example.com " (ক্লাসিক সিএসআরএফ দৃশ্যাবলী) এর জন্য এক ধরণের অনুরোধ সম্পাদন করে ।
সুতরাং:
- আমরা যদি অরিজিন শিরোনাম (সার্ভার-সাইড), এবং কোনও সিএসআরএফ টোকেন না পরীক্ষা করি তবে আমাদের কাছে সিএসআরএফ সুরক্ষা গর্ত রয়েছে।
- যদি আমরা কোনও সিএসআরএফ টোকেন পরীক্ষা করি তবে আমরা নিরাপদ (তবে এটি কিছুটা ক্লান্তিকর)।
- আমরা যদি অরিজিন শিরোনামটি পরীক্ষা করে দেখি তবে অ্যাস ডট কমের ক্লায়েন্ট সাইড কোডের অনুরোধটি ঠিক যেমন সিএসআরএফ টোকেনটি ব্যবহার করার সময় ব্লক করা উচিত - বাদে, যদি ডট কমের কোডের পক্ষে কোনওভাবে অরিজিন শিরোনাম সেট করা সম্ভব হয়।
আমি জানি, এক্সএইচআর দিয়ে এটি সম্ভব না হওয়া উচিত (উদাহরণস্বরূপ ক্রস-অরিজিন রিসোর্স ভাগ করে নেওয়ার জন্য সুরক্ষা দেখুন ), কমপক্ষে না, যদি আমরা বিশ্বাস করি যে ডাব্লু 3 সি সমস্ত আধুনিক ব্রাউজারগুলিতে সঠিকভাবে প্রয়োগ করা হবে (আমরা কি পারি?)
তবে অন্যান্য ধরণের অনুরোধ সম্পর্কে কী - যেমন ফর্ম জমা দিন? স্ক্রিপ্ট / আইএমজি / ... ট্যাগ লোড হচ্ছে? অথবা কোনও পৃষ্ঠা কোনও অনুরোধ তৈরি করতে (আইনত) ব্যবহার করতে পারে? অথবা হয়ত কিছু পরিচিত জেএস হ্যাক?
দ্রষ্টব্য: আমি কথা বলছি না
- নেটিভ অ্যাপ্লিকেশন,
- ম্যানিপুলেটেড ব্রাউজারগুলি,
- উদাহরণ.কমের পৃষ্ঠায় ক্রস সাইট স্ক্রিপ্টিং বাগগুলি,
- ...