Help us learn about your current experience with the documentation. Take the survey.
缺少反 CSRF 令牌
描述
应用程序未能通过使用安全的应用程序令牌或 SameSite cookie 指令来防范跨站请求伪造(CSRF)攻击。
攻击者可以通过在第三方网站上创建链接或表单,并诱骗已认证的受害者访问它们来利用此漏洞。
修复建议
考虑将所有会话 cookie 设置为具有 SameSite=Strict 属性。但需要注意的是,这可能会影响在其他媒介上共享链接时的可用性。建议采用基于双 cookie 的方法,如 RFC 中顶级导航部分所述。
如果应用程序使用的是通用框架,那么可能内置了 Anti-CSRF 保护,但需要启用。请查阅您的应用程序框架文档了解详情。
如果这些选项都不适用,则强烈建议使用第三方库。实现安全的 Anti-CSRF 系统是一项重大的投入,且很难正确实现。
详情
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 352.1 | true | 352 | Passive | Medium |