اذهب إلى المحتوى
  • 0

هل وجود access token / refresh يمنع هجمات csrf

مضحي Modhy

السؤال

لدي تطبيق ويوجد به مصادقة عن طريف التوكن ومدته لا تزيد عن ٣ دقائق ويتم تجديده عن طريق refresh token

هل هذا يمنع هجوم csrf ؟

وان كان لا فكيف يمكن تفادي هجوم csrf عن طريق api nodejs و frontend nuxtjs

تم التعديل في بواسطة مضحي Modhy
تعديل العنوان
رابط هذا التعليق
شارك على الشبكات الإجتماعية

Recommended Posts

  • 0

اختصار ، طالما أن المصادقة ليست تلقائية (عادةً ما يوفرها المتصفح) ، فلا داعي للقلق بشأن حماية CSRF. إذا كان تطبيقك يقوم بإرفاق بيانات الاعتماد Headers فلن يتمكن المتصفح من مصادقة الطلبات تلقائيًا ، ولن يكون CSRF ممكنًا. لذلك لا يعني ذلك أن Bearer Tokens هي أفضل دفاع ضد هجمات CSRF ، ولكن ببساطة CSRF عبارة عن هجوم يهاجم على وجه التحديد الطلبات حيث يوفر المتصفح تلقائيًا المصادقة (عادةً ملفات تعريف الارتباط والمصادقة الأساسية) ، وبالتالي لا يهم CSRF إذا كان المتصفح لا يمكنه مصادقتك.

رابط هذا التعليق
شارك على الشبكات الإجتماعية

  • 0
بتاريخ 23 ساعات قال مضحي Modhy:

واذا كان هذا التوكن مرفق في الكوكيز ، هل هذه مصادقة تلقائية ؟

هذا يعتمد على كيفية تعامل الخادم مع الكوكيز المذكورة وكيفية البرمجة التي تمت للتعامل مع المصادقة ولكن اذا كنت تعتمد على تلك الكوكيز لابقاء المصادقة وكان هذا يتم التعامل معه من الخادم في كل مرة فنعم يعتبر هذا مصادقة تلقائية 

رابط هذا التعليق
شارك على الشبكات الإجتماعية

  • 0

في كل طلب يتم على الخادم يتم التحقق من وجود الكويكز وبداخله كود التوكن ويتم التحقق من كود التوكن هل هو صحيح او لا وهل مازال يعمل او انتهت صلاحيته.

بهذه الطريقة يسمى مصادقة تلقائية ؟ صحيح ؟

اذن في هذه الحالة لابد من توفر كود csrf لحماية الراوتر الخاص بال post ؟ صحيح هذا الكلام ؟

 

هل كود csrf يتم انشاءه في كل طلب للمستخدم ام مره واحده عند تسجيل الدخول ؟

وعند انشاءه هل يتم حفظه في قاعدة البيانات او في مكان آخر ؟ اتمنى توضيح هذه النقطة.

وعند حفظه بقاعدة البيانات لابد في كل مره اتحقق من صحته بعمل select  لبيانات المستخدم ؟ هل هذه الطريقة هي المعتده عند الكل ام يوجد طريقة اخرى ؟

رابط هذا التعليق
شارك على الشبكات الإجتماعية

انضم إلى النقاش

يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.

زائر
أجب على هذا السؤال...

×   لقد أضفت محتوى بخط أو تنسيق مختلف.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   جرى استعادة المحتوى السابق..   امسح المحرر

×   You cannot paste images directly. Upload or insert images from URL.

  • إعلانات

  • تابعنا على



×
×
  • أضف...