← 回到練習列表 加入 LINE 社群
Day 24

Day 24|CSRF 修補建議:CSRF Token 驗證

昨日複習

Day 23|CSRF 跨站請求偽造

Attackers may trick authenticated users into submitting unwanted requests.

正確答案 B. CSRF

這句在描述:CSRF(Cross-Site Request Forgery,跨站請求偽造)

看完整 Day 23 →

今日句子

The application should require a unique CSRF token for state-changing requests.

中文意思

應用程式應該要求會改變狀態的請求帶有唯一的 CSRF token。

這句在說什麼資安問題

CSRF Remediation(CSRF 修補建議)

這句出現在 CSRF 弱點報告的 Remediation(修補建議)段落。CSRF token 是伺服器產生的隨機值,嵌入表單或請求 header 中,每次請求伺服器都會驗證它是否符合。因為攻擊者無法預測這個值,就無法偽造有效的請求。

  • 修改密碼、更改 Email、刪除帳號等操作都需要帶 CSRF token
  • Token 通常以隱藏欄位 <input type='hidden' name='_csrf'> 嵌入表單
  • SPA 或 API 常用 Double Submit Cookie 或 custom header(如 X-CSRF-Token)方式實作

重點單字

英文中文
should require 應該要求
unique CSRF token 唯一的 CSRF token
state-changing requests 會改變狀態的請求

練習題

Validate CSRF tokens before processing sensitive actions.

A在處理敏感操作前,驗證 CSRF token
B在處理敏感操作前,關閉所有登入功能
C在處理敏感操作前,移除所有使用者資料
D在處理敏感操作前,增加圖片壓縮功能
💡 validate(驗證)+ CSRF tokens + before processing sensitive actions(在處理敏感操作前)是 CSRF 修補建議的標準句型。伺服器在執行任何狀態改變操作前,必須先確認請求附帶的 token 是有效的。