[問題] 避免javascript上的XSRF問題

作者: nicknick196 (聽天由命)   2015-07-06 14:52:59
XSRF是一種,跨站假要求(Cross-Site Request Forgery;CSRF/XSRF)是一種點擊攻擊
(Click Attack)與連線控制(Session Riding),
或稱連線綁架(Session Hijacking),會造成使用者在瀏覽信賴的網頁或郵件時,遭受到
來自其他地方的攻擊。
以下是我的Code
window.location = window.location.href.split("#")[0] + "#";
經過機器檢測,有以下的問題
Methos $ at line 23 /x/x/x/test.js of gets a parameter from a user request
URL from element split.
This parameter value flows the code and is eventually used to modify database
contents.
The application does not require renewed user authentication for the request.
This may enable Cross-Site Request Forgery(XSRF).
由於本身是第一次,了解到這問題,想請問各位前輩,不知有何辦法或參考範例能解決此問
題?
作者: mrbigmouth (大嘴先生)   2015-07-06 16:44:00
不要自己split 改用location = location.origin +location.pathname + '#';這樣試看看?
作者: eight0 (欸XD)   2015-07-06 19:51:00
如果你是要跳到頁面最上方 location = "#" 就行

Links booklink

Contact Us: admin [ a t ] ucptt.com