csrf

Drupal Services csrf 的防御


使用 token 是如何防御 csrf 的

因为 token 是由服务端生成的,每次提交信息都需要验证。攻击者的网页无法获取。

为什么不能获取,这个和网站的 X-Frame-Options 有关。

如果不设置 X-Frame-Options 则表示任意网页都可以使用 iframe 加载。

那么则可以获取到 token,这样使用 token 也无法防御。

如果不使用 token 那么攻击者就可以直接提交各种数据了。

Drupal X-Frame-Options 默认设置  SAMEORIGIN

可是

Services 获取 token 的 uri 可以任意访问。