发现一个CF缓存页面所造成的隐患

熊猫酿酒 · 发表于 2020-10-15 18:09:20

CF缓存是根据第一个访问这个页面的用户客户端展示的内容缓存的

那岂不是第一个触发缓存的用户可以篡改页面。通过修改本地页面来让CF缓存上自己的内容？

nat.ee · 发表于 2020-10-15 18:14:34

这智商，源主机>CF>目标终端
用户访问cf cf之后访问源主机，
缓存不是获取你用户本地的，而是你请求的数据，cf和源主机直接的缓存，不会缓存到你用户本地的！

熊猫酿酒 · 发表于 2020-10-15 18:10:52

我觉得CF不至于这么傻吧是不是有不对称加密校验

llmwxt · 发表于 2020-10-15 18:10:08

太高端了，等大佬

xls · 发表于 2020-10-15 18:11:05

建议重新了解 CDN 工作原理

iks · 发表于 2020-10-15 18:14:14

nat.ee 发表于 2020-10-15 18:14

这智商，源主机>CF>目标终端
用户访问cf cf之后访问源主机，
缓存不是获取你用户本地的，而是你请求的数据 ...
OK 我想也不会缓存客户端

熊猫酿酒 · 发表于 2020-10-15 18:15:34

我就问问你怎么篡改？，F12，你以为你F12的内容是在cf的节点上？

当然有一种情况确实很正常，那就是一个登录用户访问时，cf会缓存这个用户看到的页面（例如登录头像等用户信息，这种情况下就不应该缓存这个页面，如果还是想缓存，那就必须使用ajax技术，前端只加载静态页面模块，ajax请求数据

hanada · 发表于 2020-10-15 18:14:00

建议重新了解 CDN 工作原理

XieZeBin · 发表于 2020-10-15 18:16:31

加了csrf的表示根本不能去用缓存。因为csrf验证码不刷新导致验证失败。恭喜你发现惊天**ug

爱吃醋的醋醋 · 发表于 2020-10-15 18:16:58

很傻很天真

		自动登录	找回密码
密码			立即注册