مضحي Modhy نشر 14 أغسطس 2021 أرسل تقرير نشر 14 أغسطس 2021 (معدل) لدي تطبيق ويوجد به مصادقة عن طريف التوكن ومدته لا تزيد عن ٣ دقائق ويتم تجديده عن طريق refresh token هل هذا يمنع هجوم csrf ؟ وان كان لا فكيف يمكن تفادي هجوم csrf عن طريق api nodejs و frontend nuxtjs تم التعديل في 14 أغسطس 2021 بواسطة مضحي Modhy تعديل العنوان اقتباس
0 Salah Eddin Beriani2 نشر 14 أغسطس 2021 أرسل تقرير نشر 14 أغسطس 2021 اختصار ، طالما أن المصادقة ليست تلقائية (عادةً ما يوفرها المتصفح) ، فلا داعي للقلق بشأن حماية CSRF. إذا كان تطبيقك يقوم بإرفاق بيانات الاعتماد Headers فلن يتمكن المتصفح من مصادقة الطلبات تلقائيًا ، ولن يكون CSRF ممكنًا. لذلك لا يعني ذلك أن Bearer Tokens هي أفضل دفاع ضد هجمات CSRF ، ولكن ببساطة CSRF عبارة عن هجوم يهاجم على وجه التحديد الطلبات حيث يوفر المتصفح تلقائيًا المصادقة (عادةً ملفات تعريف الارتباط والمصادقة الأساسية) ، وبالتالي لا يهم CSRF إذا كان المتصفح لا يمكنه مصادقتك. اقتباس
0 مضحي Modhy نشر 14 أغسطس 2021 الكاتب أرسل تقرير نشر 14 أغسطس 2021 واذا كان هذا التوكن مرفق في الكوكيز ، هل هذه مصادقة تلقائية ؟ اقتباس
0 Salah Eddin Beriani2 نشر 15 أغسطس 2021 أرسل تقرير نشر 15 أغسطس 2021 بتاريخ 23 ساعات قال مضحي Modhy: واذا كان هذا التوكن مرفق في الكوكيز ، هل هذه مصادقة تلقائية ؟ هذا يعتمد على كيفية تعامل الخادم مع الكوكيز المذكورة وكيفية البرمجة التي تمت للتعامل مع المصادقة ولكن اذا كنت تعتمد على تلك الكوكيز لابقاء المصادقة وكان هذا يتم التعامل معه من الخادم في كل مرة فنعم يعتبر هذا مصادقة تلقائية 1 اقتباس
0 مضحي Modhy نشر 15 أغسطس 2021 الكاتب أرسل تقرير نشر 15 أغسطس 2021 في كل طلب يتم على الخادم يتم التحقق من وجود الكويكز وبداخله كود التوكن ويتم التحقق من كود التوكن هل هو صحيح او لا وهل مازال يعمل او انتهت صلاحيته. بهذه الطريقة يسمى مصادقة تلقائية ؟ صحيح ؟ اذن في هذه الحالة لابد من توفر كود csrf لحماية الراوتر الخاص بال post ؟ صحيح هذا الكلام ؟ هل كود csrf يتم انشاءه في كل طلب للمستخدم ام مره واحده عند تسجيل الدخول ؟ وعند انشاءه هل يتم حفظه في قاعدة البيانات او في مكان آخر ؟ اتمنى توضيح هذه النقطة. وعند حفظه بقاعدة البيانات لابد في كل مره اتحقق من صحته بعمل select لبيانات المستخدم ؟ هل هذه الطريقة هي المعتده عند الكل ام يوجد طريقة اخرى ؟ اقتباس
0 علي الكاسر نشر 19 نوفمبر 2021 أرسل تقرير نشر 19 نوفمبر 2021 بتاريخ On ١٤/٨/٢٠٢١ at 09:11 قال مضحي Modhy: refresh token ماهو هذا refresh token اقتباس
السؤال
مضحي Modhy
لدي تطبيق ويوجد به مصادقة عن طريف التوكن ومدته لا تزيد عن ٣ دقائق ويتم تجديده عن طريق refresh token
هل هذا يمنع هجوم csrf ؟
وان كان لا فكيف يمكن تفادي هجوم csrf عن طريق api nodejs و frontend nuxtjs
تم التعديل في بواسطة مضحي Modhyتعديل العنوان
5 أجوبة على هذا السؤال
Recommended Posts
انضم إلى النقاش
يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.