referer和token谁更安全?

referer和token谁安全等级高?

token安全等级更高,因为并不是任何服务器都可以取得referer,如果从HTTPS跳到HTTP,也不会发送referer。并且FLASH一些版本中可以自定义referer。

但是token的话,要保证其足够随机且不可泄露。(不可预测性原则)

referer不是所有服务器都有的,如果协议从HTTPS降级为HTTP,也不会有referer,而token必须保证它的随机性和不可泄露,所以token的安全等级更高。

referer如何验证?

对header中的referer的验证,一个是空referer,一个是referer过滤或者检测不完善。

为了杜绝这种问题,在验证的白名单中,正则规则应当写完善。

对于referer的验证,一个是是否为空,即检查是否存在referer字段,第二个就是是否过滤机制完善,有没有存在漏洞。

token如何验证?

引用一段请教前辈的回答:

针对token的攻击,一是对它本身的攻击,重放测试一次性、分析加密规则、校验方式是否正确等,二是结合信息泄露漏洞对它的获取,结合着发起组合攻击

信息泄露有可能是缓存、日志、get,也有可能是利用跨站

很多跳转登录的都依赖token,有一个跳转漏洞加反射型跨站就可以组合成登录劫持了

另外也可以结合着其它业务来描述token的安全性及设计不好怎么被绕过比如抢红包业务之类的

对token的检查和验证应该与其他漏洞的防御相结合,如XSS攻击,因为针对token的攻击往往是与其他漏洞一起利用的。

相关推荐
带娃的IT创业者9 小时前
突破算力与安全的边界:深度解析 Mythos AI 的“受信发布”机制与技术影响
人工智能·安全·大语言模型·ai安全·mythos ai·受信发布·ai监管
落寞的星星10 小时前
引言:加密不等于安全
安全
我叫黑大帅10 小时前
MySQL 并发插入竞态问题:原子写入实践指南
后端·mysql·面试
SRET10 小时前
Mineradio 沙盒隔离安装完全指南 | 一键安全运行 Electron 应用!!!
javascript·经验分享·安全·electron·aigc·音视频·ai编程
全栈前端老曹10 小时前
【MongoDB】安全与权限管理 —— 用户认证、角色权限、SSL 加密
前端·javascript·数据库·安全·mongodb·nosql·ssl
星河耀银海10 小时前
大模型安全:对抗攻击与防御方法
人工智能·安全·大模型
广东帝工智能安防11 小时前
智能设防精准预警,筑牢内河桥梁通航安全防护网
安全·桥梁防撞·智慧航道·防撞预警系统
kk的vmware虚拟机安装ubuntu11 小时前
鱼皮 yu-rpc:从 0 到 1 手写 RPC 框架的实践教程
网络·网络协议·其他·rpc
我叫黑大帅11 小时前
别再手动写 updated_at了,这坑我踩过
后端·面试·go
ShineWinsu12 小时前
对于Linux:网络基础的解析
linux·网络·面试·udp·笔试·ip·tcp