OWASP ASVS中关于浏览器请求伪造攻击的术语统一讨论

在OWASP应用安全验证标准(ASVS)的V50版本更新过程中，开发团队发现关于浏览器请求伪造攻击的术语使用存在不一致的情况。这个问题涉及到安全标准文档的准确性和一致性，对于开发者理解和实施安全防护措施具有重要意义。

在V50.4.1章节中，标准使用了"browser-based request forgery"(基于浏览器的请求伪造)这一术语，并注明这是"commonly known as cross-site request forgery (CSRF)"(通常称为跨站请求伪造)。这种表述方式既保持了技术准确性，又兼顾了行业通用术语。

然而，在V50.2.3章节中，标准仍然仅使用了"cross-site request forgery"(跨站请求伪造)这一传统术语。这种不一致可能会给标准使用者带来困惑，特别是在理解SameSite cookie属性防御机制时。

技术专家指出，SameSite cookie属性主要防御的是浏览器发起的恶意请求，而不仅仅是跨站点的场景。"browser-based request forgery"这一术语更能准确描述攻击的本质，即攻击者利用受害者的浏览器向目标网站发送未经授权的请求。这种攻击不限于跨站点场景，还包括同源策略下的某些特殊情况。

经过讨论，团队决定在V50.2.3章节中采用与V50.4.1一致的术语表述方式，同时保持攻击类型描述的完整性。更新后的表述将SameSite属性防御的攻击类型明确分为两类：用户界面重定向攻击和基于浏览器的请求伪造攻击(通常称为CSRF)。

这一术语调整体现了安全标准制定中对技术准确性的追求，同时也考虑到了开发者的认知习惯。通过统一术语使用，OWASP ASVS能够更清晰地传达安全防护措施的目的和实施要求，帮助开发者更好地理解和应用这些安全控制措施。

在Web应用安全领域，术语的准确使用对于安全控制措施的理解和实施至关重要。OWASP ASVS作为行业广泛认可的安全标准，其术语的统一和准确将直接影响全球开发者的安全实践。