Есть ли смысл защищать от CSRF кнопку «Выход»?

Question

Котик Антон @27cm

TODO: Написать статус

Есть ли смысл защищать от CSRF кнопку «Выход»?

Всем доброго.

Случайно наткнулся на код защиты запроса logout'а пользователя: AccountController.php#L90-L99

Автор показывает форму подтверждения, и только после получения подтверждения разлогинивает пользователя, хотя можно было и проще:

<form src="/logout">
    <input type="hidden" value="csrf-token">
    <input type="submit" value="Выход">
</form>

Нужно ли защищать запрос разлогинивания пользователя от CSRF?
Как злоумышленник может экплуатировать эту уязвимость в данном случае?

Вопрос задан более трёх лет назад
1523 просмотра

Комментировать

Подписаться 3 Оценить Комментировать

Решения вопроса 2

3 комментария

Алексей Уколов @alexey-m-ukolov Куратор тега Веб-разработка

Я согласен. Это, в конце концов, снижает ментальную нагрузку: зачем каждый раз принимать это решение заново? Есть форма - кинь токен.

Написано более трёх лет назад
Котик Антон @27cm Автор вопроса
Алексей Уколов: Форма как раз появляется, если решаем добавить токен. Изначально, кнопка "Выход" может быть просто ссылкой (как на тостере). Вопрос в том, стоит ли превращать это:
<a href="/logout">Выход</a>
в это:
<form src="/logout"> <input type="hidden" value="csrf-token"> <input type="submit" value="Выход"> </form>

?
Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov Куратор тега Веб-разработка

Если смотреть с точки зрения REST, то это вообще должен быть DELETE запрос (убивает сессию), а для него форма необходима :)
Я обычно, в такие крайности не впадаю, но форму с POST и токеном делаю. Это же не ресурс, его по GET получить нельзя.

Написано более трёх лет назад

1 комментарий

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+4 ещё

Простой
Не могу на Github спрятать файлы в gitignore, чтобы заходя на мой репозиторий не видели файлы проекта но могли открыть проект (сайт) по ссылке?
- 1 подписчик
- 2 часа назад
- 51 просмотр
1

ответ
Python

+4 ещё

Простой
Aiogram, ERROR Yellow code, aiogram.types.web_app_info not imported?
- 1 подписчик
- 3 часа назад
- 41 просмотр
1

ответ
Веб-разработка

Простой
Как обойти блокировку просмотра видео?
- 1 подписчик
- 5 часов назад
- 66 просмотров
3

ответа
Веб-разработка

+1 ещё

Простой
Для чего такие сайты?
- 1 подписчик
- 10 часов назад
- 148 просмотров
3

ответа
Веб-разработка

Средний
Как отсортировать в ХТМЛ по дате рождения от младшего к старшему, а так же, нумерацию их 1,2,3,4. Чтобы можно было потом добавить еще людей?
- 1 подписчик
- 13 часов назад
- 74 просмотра
1

ответ
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- вчера
- 103 просмотра
2

ответа
Веб-разработка

Простой
Не будет ли проблем при использовании хостинга другой страны?
- 1 подписчик
- вчера
- 120 просмотров
2

ответа
Веб-разработка

+1 ещё

Средний
Как сделано всплывающее окно с моим e-mail адресом Google, который я на этом сервере не оставлял?
- 1 подписчик
- 17 апр.
- 141 просмотр
2

ответа
WordPress

+2 ещё

Простой
Из-за чего выдает такое на главной после переноса?
- 1 подписчик
- 17 апр.
- 76 просмотров
1

ответ
JavaScript

+3 ещё

Средний
Какие есть способы организовать редкое добавление статей на сайт?
- 1 подписчик
- 17 апр.
- 119 просмотров
1

ответ
Показать ещё Загружается…

Веб-разработчик

Искра • Екатеринбург

от 80 000 до 100 000 ₽

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Веб-дизайнер

Stakewolle

от 40 000 до 60 000 ₽

Настроить рекламу в VK

20 апр. 2024, в 13:56

7000 руб./за проект

Настроить рекламу в Авито

20 апр. 2024, в 13:52

7000 руб./за проект

Помочь с запуском бота

20 апр. 2024, в 13:23

1000 руб./за проект

Answer 1 · 2016-08-22 04:43:16

Назар Мокринский @nazarpc

Open Source enthusiast

По-моему хорошей практикой является защита от CSRF всегда и везде

Ответ написан более трёх лет назад

3 комментария

Answer 2 · 2016-08-22 05:58:32

Эксплуатировать эту уязвимость очень просто: нужно на этом же сайте разместить "картинку" с адресом /logout. Или дать ссылку на страницу своего блога, где будет такая картинка. Каждый, кто её "посмотрит", будет принудительно выброшен из системы. Ничего такого, просто неприятность.

Пока в vk не сделали csrf повсюду, таким образом люди без своего ведома вступали в группы или голосовали в нужном голосовании за нужный результат.

Answer 3 · 2016-08-22 03:25:02

>Как злоумышленник может экплуатировать эту уязвимость в данном случае?
Найти багу на странице логина. Но чтобы ее эксплуатировать, нужно чтобы пользователь туда зашел. Следовательно нужно принудительно разлогинить пользователя, чтобы не ждать этого момента.
Или, например, не давать администратору сделать что-то (например забанить юзера) принудительно его выкидывая из системы...

Вообще это дело личной паранои. Не найдут CSRF тут, найдут другую ошибку в другом месте.

Answer 4 · 2016-08-24 09:46:34

Например, у меня самописная программа под моей учеткой работает (ищет клиентов), мне было бы обидно если бы кто-то за меня выходил

Есть ли смысл защищать от CSRF кнопку «Выход»?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт