• 0

هل وجود access token / refresh يمنع هجمات csrf

لدي تطبيق ويوجد به مصادقة عن طريف التوكن ومدته لا تزيد عن ٣ دقائق ويتم تجديده عن طريق refresh token

هل هذا يمنع هجوم csrf ؟

وان كان لا فكيف يمكن تفادي هجوم csrf عن طريق api nodejs و frontend nuxtjs

تمّ تعديل بواسطة مضحي Modhy
تعديل العنوان

انشر على الشّبكات الاجتماعية


رابط هذه المساهمة
شارك على الشبكات الإجتماعية
  • 0

اختصار ، طالما أن المصادقة ليست تلقائية (عادةً ما يوفرها المتصفح) ، فلا داعي للقلق بشأن حماية CSRF. إذا كان تطبيقك يقوم بإرفاق بيانات الاعتماد Headers فلن يتمكن المتصفح من مصادقة الطلبات تلقائيًا ، ولن يكون CSRF ممكنًا. لذلك لا يعني ذلك أن Bearer Tokens هي أفضل دفاع ضد هجمات CSRF ، ولكن ببساطة CSRF عبارة عن هجوم يهاجم على وجه التحديد الطلبات حيث يوفر المتصفح تلقائيًا المصادقة (عادةً ملفات تعريف الارتباط والمصادقة الأساسية) ، وبالتالي لا يهم CSRF إذا كان المتصفح لا يمكنه مصادقتك.

انشر على الشّبكات الاجتماعية


رابط هذه المساهمة
شارك على الشبكات الإجتماعية
  • 0

واذا كان هذا التوكن مرفق في الكوكيز ، هل هذه مصادقة تلقائية ؟

انشر على الشّبكات الاجتماعية


رابط هذه المساهمة
شارك على الشبكات الإجتماعية
  • 0
بتاريخ 23 ساعات قال مضحي Modhy:

واذا كان هذا التوكن مرفق في الكوكيز ، هل هذه مصادقة تلقائية ؟

هذا يعتمد على كيفية تعامل الخادم مع الكوكيز المذكورة وكيفية البرمجة التي تمت للتعامل مع المصادقة ولكن اذا كنت تعتمد على تلك الكوكيز لابقاء المصادقة وكان هذا يتم التعامل معه من الخادم في كل مرة فنعم يعتبر هذا مصادقة تلقائية 

1 شخص أعجب بهذا

انشر على الشّبكات الاجتماعية


رابط هذه المساهمة
شارك على الشبكات الإجتماعية
  • 0

في كل طلب يتم على الخادم يتم التحقق من وجود الكويكز وبداخله كود التوكن ويتم التحقق من كود التوكن هل هو صحيح او لا وهل مازال يعمل او انتهت صلاحيته.

بهذه الطريقة يسمى مصادقة تلقائية ؟ صحيح ؟

اذن في هذه الحالة لابد من توفر كود csrf لحماية الراوتر الخاص بال post ؟ صحيح هذا الكلام ؟

 

هل كود csrf يتم انشاءه في كل طلب للمستخدم ام مره واحده عند تسجيل الدخول ؟

وعند انشاءه هل يتم حفظه في قاعدة البيانات او في مكان آخر ؟ اتمنى توضيح هذه النقطة.

وعند حفظه بقاعدة البيانات لابد في كل مره اتحقق من صحته بعمل select  لبيانات المستخدم ؟ هل هذه الطريقة هي المعتده عند الكل ام يوجد طريقة اخرى ؟

انشر على الشّبكات الاجتماعية


رابط هذه المساهمة
شارك على الشبكات الإجتماعية
  • 0
بتاريخ On ١٤‏/٨‏/٢٠٢١ at 09:11 قال مضحي Modhy:

refresh token

ماهو هذا refresh token 

انشر على الشّبكات الاجتماعية


رابط هذه المساهمة
شارك على الشبكات الإجتماعية

يجب أن تكون عضوًا لدينا لتتمكّن من التعليق

انشاء حساب جديد

يستغرق التسجيل بضع ثوان فقط


سجّل حسابًا جديدًا

تسجيل الدخول

تملك حسابا مسجّلا بالفعل؟


سجّل دخولك الآن