coldfusion - 检测到跨站请求伪造 (CSRF) 时应发回什么响应

Question

检测到跨站请求伪造 (CSRF) 时我应该发回什么响应？

有一个我无法获取的扫描工具，它说我的一个页面没有针对 CSRF 进行保护。但它是。我发回的响应是一个正常的 202，其中包含“REQUEST CANNOT BE PROCESSED”这句话。就是这样，没有任何信息被发送回攻击者，并且我记录了这次尝试。但该软件表示它仍然容易受到 CSRF 的影响。我可以轻松地自己运行测试并找出答案，但是扫描和测试之间的时间很长，而且我无法获得相同的软件，这就是我询问 stackoverflow 的原因，所以我希望可以在下一次计划的扫描中将其解决。我正在考虑发回 404 或 410 的 statusCode，而不是 202。 <强> http://www.cfgears.com/index.cfm/2009/8/11/cfheader-404-status-codes-and-why-you-shouldnt-use-them

检测到 CSRF 时，您建议发回什么内容？

Answer 1

403 Forbidden由于用户在技术上被授权访问该站点，因此只是禁止特定操作(没有正确的 CSRF token 的 HTTP POST)。

A web server may return a 403 Forbidden HTTP status code in response to a request from a client for a web page or resource to indicate that the server can be reached and understood the request, but refuses to take any further action. Status code 403 responses are the result of the web server being configured to deny access, for some reason, to the requested resource by the client.

请记住，攻击者将无法读取此响应，并且在大多数情况下，用户将看不到消息或 HTTP 响应，因为 CSRF 攻击的设计目的并不是让受害者明显意识到它正在发生。如果您有有效的 CSRF 机制，您的网站无论如何都不会受到这种方式的攻击 - 防御也是威慑。