从主页的一个端点禁用防伪令牌保护是一个不错的选择吗?

Does Disabling Anti-forgery Token protection from one endpoint for the homepage is a good option?

提问人:Arun Modi 提问时间:7/20/2023 更新时间:7/20/2023 访问量:14

问:

在 flux 应用程序上,我们默认启用了防伪令牌,我们想探索关闭它的选项以实现预填充的资格。为了填充表单,我们要求客户端将 Json POST 到主页端点(由于防伪令牌,该端点目前将被阻止)。我们只会关闭此端点,并默认为应用程序的其余部分启用它。

你对此有什么顾虑吗?

想要了解在这种架构设置中移除防伪令牌意味着什么。也就是说,由于基础架构模型有多个层,核心应用程序是否仍然安全?您如何对该令牌阻止的潜在 CSRF 缺陷进行分类?

应用程序 CSRF 防伪令牌 渗透测试 Web应用程序安全

评论

答: 暂无答案

上一个:防伪令牌最佳实践

下一个:SSO 流中 mvc 应用程序的发布请求引发防伪令牌错误