referer和token谁更安全?

这篇具有很好参考价值的文章主要介绍了referer和token谁更安全?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

referer和token谁安全等级高?

token安全等级更高,因为并不是任何服务器都可以取得referer,如果从HTTPS跳到HTTP,也不会发送referer。并且FLASH一些版本中可以自定义referer。

但是token的话,要保证其足够随机且不可泄露。(不可预测性原则)

referer不是所有服务器都有的,如果协议从HTTPS降级为HTTP,也不会有referer,而token必须保证它的随机性和不可泄露,所以token的安全等级更高。

referer如何验证?

对header中的referer的验证,一个是空referer,一个是referer过滤或者检测不完善。

为了杜绝这种问题,在验证的白名单中,正则规则应当写完善。

对于referer的验证,一个是是否为空,即检查是否存在referer字段,第二个就是是否过滤机制完善,有没有存在漏洞。

token如何验证?

引用一段请教前辈的回答:

针对token的攻击,一是对它本身的攻击,重放测试一次性、分析加密规则、校验方式是否正确等,二是结合信息泄露漏洞对它的获取,结合着发起组合攻击

信息泄露有可能是缓存、日志、get,也有可能是利用跨站

很多跳转登录的都依赖token,有一个跳转漏洞加反射型跨站就可以组合成登录劫持了

另外也可以结合着其它业务来描述token的安全性及设计不好怎么被绕过比如抢红包业务之类的

对token的检查和验证应该与其他漏洞的防御相结合,如XSS攻击,因为针对token的攻击往往是与其他漏洞一起利用的。文章来源地址https://www.toymoban.com/news/detail-706189.html

到了这里,关于referer和token谁更安全?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • “熊猫杯” | 赛宁网安获网络安全优秀创新成果大赛优胜奖

    9月11日,四川省2023年国家网络安全宣传周正式启动。由四川省委网信办指导,中国网络安全产业联盟(CCIA)主办,成都信息工程大学、四川省网络空间安全协会承办的“2023年网络安全优秀创新成果大赛—成都分站赛(暨四川省‘熊猫杯’网络安全优秀作品大赛)”落下帷幕。

    2024年02月09日
    浏览(49)
  • 【HUST】网安|计算机网络安全实验|实验二 DNS协议漏洞利用实验

    写在最前: 这是我个人的实验记录,实现方式有很多种,多台虚拟机更容易做netwox。 认真整理和记录了一下容易出问题的地方。 代码仓库开了。 HUST计算机网络安全实验_Gitee Github docker使用 建立实验环境 普通用户: seed 密码:dees 超级用户:root 密码:seedubuntu Network(bridge):

    2024年02月04日
    浏览(53)
  • 【HUST】网安|计算机网络安全实验|实验一 TCP协议漏洞及利用

    写在最前: 实验指导书已经写得非常好了 ,这是我个人的实验记录, 并没有认真整理和记录容易出问题的地方 。只是免得以后忘了什么是netwox还得翻学习通。 HUST计算机网络安全实验_Gitee Github 普通用户: seed 密码:dees 超级用户:root 密码:seedubuntu Network(bridge):172.17.0.0/1

    2023年04月21日
    浏览(91)
  • 【自学宝典】从零开始自学网络安全,按照这个路线就可以了

    很多零基础朋友开始将网络安全作为发展的大方向,的确,现如今网络安全已经成为了一个新的就业风口,不仅大学里开设相关学科,连市场上也开始大量招人。那么网络安全到底前景如何?大致从市场规模、政策扶持、就业方向、薪资待遇等方面来判断。 在工信部《网络安

    2024年02月13日
    浏览(41)
  • 【自学网络安全】从零开始学习网络渗透的核心知识点,助你入门宝典

    前言 上周旁听了一个大学学长组织的线上网络安全交流会,里边不乏充斥着各位行业大牛,讲的内容确实精彩,可能对于网络安全经验5年+的人来说,是受益匪浅,欢迎程度极高,恨不得跳出屏幕来表示赞同,毕竟很多提到的问题,我在工作中也很常见,但是作为资历一般的

    2024年02月03日
    浏览(42)
  • 网安面试题收集实录

    是hvv面试宝典的一次更新,收录了本人面试过程中遇到的一些问题 sql注入原理、分类、绕过 报错注入用到的函数、原理 sqlmap用过的tamper 如何防御sql注入 sql写shell条件/sqlmap写shell 文件上传漏洞防范措施 文件包含漏洞防范措施 xss漏洞防御 常用webshell免杀思路 渗透思路 中间件

    2023年04月09日
    浏览(29)
  • 2023网安面试题(附答案)

    本文面试题汇总: 防范常见的 Web 攻击 重要协议分布层 arp协议的工作原理 rip协议是什么?rip的工作原理 什么是RARP?工作原理 OSPF协议?OSPF的工作原理 TCP与UDP区别总结 什么是三次握手四次挥手? tcp为什么要三次握手? dns是什么?dns的工作原理 一次完整的HTTP请求过程 Coo

    2024年02月11日
    浏览(44)
  • 网安面试题大全(附答案)

    本文面试题汇总: 防范常见的 Web 攻击 重要协议分布层 arp协议的工作原理 rip协议是什么?rip的工作原理 什么是RARP?工作原理 OSPF协议?OSPF的工作原理 TCP与UDP区别总结 什么是三次握手四次挥手? tcp为什么要三次握手? dns是什么?dns的工作原理 一次完整的HTTP请求过程 Coo

    2024年02月06日
    浏览(72)
  • 深入理解 Session、Cookie 和 Token:网络安全和身份验证的重要概念

    在当今数字化的世界中,网络安全和身份验证是至关重要的议题。为了实现这些目标,我们常常使用诸如 Session、Cookie 和 Token 等概念。这些概念在 Web 开发、网络通信和安全领域发挥着重要作用。在本文中,我们将深入探讨这些概念的定义、作用以及它们在实际应用中的用途

    2024年03月22日
    浏览(43)
  • 2023网安面试题164道(附答案)

     最近有不少小伙伴跑来咨询: 想找网络安全工作,应该要怎么进行技术面试准备? 工作不到 2 年,想跳槽看下机会,有没有相关的面试题呢? 为了更好地帮助大家高薪就业,今天就给大家分享 两份 网络安全工程师面试题,一共有 164道面试真题 ,希望它们能够帮助大家在

    2024年02月11日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包