对于企业应用使用Forti fy工具扫描静态代码检测出来的CSRF警告问题,大家一般是怎么处理的?

2014-01-16 21:19:34 +08:00
 Tang
CSRF 的介绍在 https://www.fortify.com/vulncat/zh_CN/vulncat/html/csrf.html

Forti fy好像会对每一个HTTP请求/表单检测出提示如下的警告:XXXX HTTP请求(表单发布)必须包含用户特有的机密,防止攻击者发出未经授权的请求。
对于那些是GET方式的请求,也有如此的警告,请问大家一般怎么处理来消除这类警告的呢?

难道需要对每个表单加上csrfToken,每个请求的url加上token才能解决吗?HTTP GET链接增加这样的随机字符串感觉饿很难看啊
4356 次点击
所在节点    Java
2 条回复
wangyongbo
2014-01-16 21:55:24 +08:00
我觉得如果是企业内部人自己用的,就算了吧。
如果是面向其他人的,那还是得改一下。如果某个操作很重要,比如可以修改,添加,删除用户的一些信息。那么这个请求应该是 用上csrf token的。否则是有安全问题的。即使难看 也得加上呀。

如果一个请求 只是请求一些资源,不会修改任何东西,我觉得就不用加了。
mengzhuo
2014-01-16 23:42:49 +08:00
GET在程序上应该是个安全操作,安全操作不需要CSRF。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/97296

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX