DAST扫描前端页面时为什么总报CSRF漏洞?
我用 OWASP ZAP 做 DAST 扫描,每次扫我们 React 项目都提示 CSRF 漏洞,但我们根本没用表单提交,全是 fetch 请求,而且后端也校验了 token 啊。
尝试过在请求头加 X-CSRF-Token,也确认后端返回了正确的 cookie,但 ZAP 还是报。是不是 DAST 工具对 SPA 有误报?
这是我们的请求代码:
fetch('/api/update', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
'X-CSRF-Token': getCsrfToken() // 从 meta 标签读取
},
credentials: 'include',
body: JSON.stringify(data)
})
- 1
回答
21浏览
OWASP ZAP 扫描时为什么总报 CSRF 漏洞?
我在用 OWASP ZAP 扫描一个内部管理后台,每次扫描都提示存在 CSRF 漏洞,但我前端已经加了 X-CSRF-Token 请求头,后端也做了校验,为啥还会报? 尝试过在 ZAP 的“上下文”里...
- 2
回答
66浏览
W3af扫描React表单时没发现CSRF漏洞,但手动测试存在缺陷
我在用W3af扫描公司新开发的React应用时,发现所有表单请求都没有检测到CSRF漏洞,但手动测试时明显能用跨站请求伪造数据。代码里确实没做CSRF令牌验证,这是为什么啊? 比如这个用户资料更新组件...
- 2
回答
93浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
- 2
回答
71浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
- 1
回答
18浏览
前端怎么正确发送 CSRF Token 到后端?
我在用 Axios 发请求时,后端要求带 CSRF Token,但我试了几次都提示验证失败。我从页面 meta 标签里读取了 token,也加到 header 里了,但好像没生效? 这是我的代码: c...
- 1
回答
39浏览
前端做CSRF防护时,Session绑定到底该怎么配合样式写?
我最近在给登录表单加CSRF防护,后端说要用Session绑定token,但我搞不清前端怎么配合。我试过把token塞进hidden input,但样式这块有点懵——比如下面这段CSS是不是会影响表单...
- 2
回答
15浏览
前端如何配合后端实现 CSRF 的 Session 绑定验证?
我最近在做登录功能,后端说要用 Session 绑定的方式来防 CSRF,但我搞不太明白前端要怎么配合。是不是每次请求都要带一个 token? 我看后端在登录成功后往 Session 里存了个 csr...
- 2
回答
34浏览
Referer检查防CSRF真的可靠吗?为什么我设置了还是被绕过?
我们后端加了Referer检查来防CSRF,但测试时发现攻击者用空Referer或者同域跳转就能绕过。我前端也试过加一些header,但好像没用。是不是这种防护方式本身就不太靠谱? 另外,我在页面里用...
- 2
回答
42浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 2
回答
84浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
