CSRF-Protection mittels Token

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • CSRF-Protection mittels Token

    Hallo,

    hierbei wird doch der Token in einem versteckten Feld gespeichert und dann mit dem Wert aus der Session verglichen.
    Was hindert aber einen Angreifer daran, sich den Quelltext anzuschauen und dort den Token rauszuholen? Dann ist doch der Schutz ausgehebelt oder habe ich da einen Denkfehler?

  • #2
    Dazu müsste der Angreifer erst mal an den Quelltext kommen.

    Kommentar


    • #3
      Wenn der Token im hidden-Field steht, ist das doch kein Problem.

      Kommentar


      • #4
        Zitat von lx-club Beitrag anzeigen
        Wenn der Token im hidden-Field steht, ist das doch kein Problem.
        Wenn der Angreifer nicht an den Quelltext kommt, kommt er auch nicht an das Hidden-Field.

        Kommentar


        • #5
          Hi,

          also ist immer Voraussetzung, das es sich um einen geschützen Bereich handelt? Ich dachte man könnte so auch sicherstellen, das Formulare immer nur über die jeweilige Website abgeschickt werden und nicht über z.B. einen eigenen Server, indem man sich einfach den Quellcode kopiert.

          Kommentar


          • #6
            Zitat von lx-club Beitrag anzeigen
            also ist immer Voraussetzung, das es sich um einen geschützen Bereich handelt? Ich dachte man könnte so auch sicherstellen, das Formulare immer nur über die jeweilige Website abgeschickt werden und nicht über z.B. einen eigenen Server, indem man sich einfach den Quellcode kopiert.
            Ist ja egal, ob das Formular ein Browser oder ein Server absendet, solange er eine gültige Session hat.

            Kommentar


            • #7
              ok, also verwendet man diesen Schutz, wenn es um geschützte Bereiche geht.

              Kann man denn auch prüfen, ob z.B. ein Kontaktformular immer von einer Quelle (eigene Webseite) gesendet wurde und von nirgendwo anders?

              Kommentar


              • #8
                Zitat von lx-club Beitrag anzeigen
                Kann man denn auch prüfen, ob z.B. ein Kontaktformular immer von einer Quelle (eigene Webseite) gesendet wurde und von nirgendwo anders?
                Nein.

                Kommentar

                Lädt...
                X