referer和token谁更安全?

referer和token谁安全等级高?

token安全等级更高,因为并不是任何服务器都可以取得referer,如果从HTTPS跳到HTTP,也不会发送referer。并且FLASH一些版本中可以自定义referer。

但是token的话,要保证其足够随机且不可泄露。(不可预测性原则)

referer不是所有服务器都有的,如果协议从HTTPS降级为HTTP,也不会有referer,而token必须保证它的随机性和不可泄露,所以token的安全等级更高。

referer如何验证?

对header中的referer的验证,一个是空referer,一个是referer过滤或者检测不完善。

为了杜绝这种问题,在验证的白名单中,正则规则应当写完善。

对于referer的验证,一个是是否为空,即检查是否存在referer字段,第二个就是是否过滤机制完善,有没有存在漏洞。

token如何验证?

引用一段请教前辈的回答:

针对token的攻击,一是对它本身的攻击,重放测试一次性、分析加密规则、校验方式是否正确等,二是结合信息泄露漏洞对它的获取,结合着发起组合攻击

信息泄露有可能是缓存、日志、get,也有可能是利用跨站

很多跳转登录的都依赖token,有一个跳转漏洞加反射型跨站就可以组合成登录劫持了

另外也可以结合着其它业务来描述token的安全性及设计不好怎么被绕过比如抢红包业务之类的

对token的检查和验证应该与其他漏洞的防御相结合,如XSS攻击,因为针对token的攻击往往是与其他漏洞一起利用的。

相关推荐
galaxylove6 分钟前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu27 分钟前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司41 分钟前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
面朝大海,春不暖,花不开1 小时前
Java网络编程:TCP/UDP套接字通信详解
java·网络·tcp/ip
ChicagoTypewriter1 小时前
计算机网络中的常用表项梳理
网络·计算机网络·智能路由器
yanlele1 小时前
前端面试第 75 期 - 2025.07.06 更新前端面试问题总结(12道题)
前端·javascript·面试
小能喵2 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
Bruce_Liuxiaowei4 小时前
常见高危端口风险分析与防护指南
网络·网络安全·端口·信息搜集
tmacfrank5 小时前
Android 网络全栈攻略(四)—— TCPIP 协议族与 HTTPS 协议
android·网络·https
liulilittle5 小时前
深度剖析:OPENPPP2 libtcpip 实现原理与架构设计
开发语言·网络·c++·tcp/ip·智能路由器·tcp·通信