Day 24
Day 24|CSRF 修補建議:CSRF Token 驗證
昨日複習
Day 23|CSRF 跨站請求偽造
Attackers may trick authenticated users into submitting unwanted requests.
正確答案 B. CSRF
這句在描述:CSRF(Cross-Site Request Forgery,跨站請求偽造)
看完整 Day 23 →今日句子
The application should require a unique CSRF token for state-changing requests.
中文意思
應用程式應該要求會改變狀態的請求帶有唯一的 CSRF token。
這句在說什麼資安問題
CSRF Remediation(CSRF 修補建議)
這句出現在 CSRF 弱點報告的 Remediation(修補建議)段落。CSRF token 是伺服器產生的隨機值,嵌入表單或請求 header 中,每次請求伺服器都會驗證它是否符合。因為攻擊者無法預測這個值,就無法偽造有效的請求。
- 修改密碼、更改 Email、刪除帳號等操作都需要帶 CSRF token
- Token 通常以隱藏欄位 <input type='hidden' name='_csrf'> 嵌入表單
- SPA 或 API 常用 Double Submit Cookie 或 custom header(如 X-CSRF-Token)方式實作
重點單字
| 英文 | 中文 |
|---|---|
| should require | 應該要求 |
| unique CSRF token | 唯一的 CSRF token |
| state-changing requests | 會改變狀態的請求 |
練習題
Validate CSRF tokens before processing sensitive actions.
💡 validate(驗證)+ CSRF tokens + before processing sensitive actions(在處理敏感操作前)是 CSRF 修補建議的標準句型。伺服器在執行任何狀態改變操作前,必須先確認請求附帶的 token 是有效的。