Leo*_*nti 29 security ajax csrf antiforgerytoken
我正在尝试从CSRF保护应用程序(php和许多JS).
我想用令牌.
很多操作都是用AJAX完成的,所以我必须在Javascript中传递令牌.如果我想为每个会话或每页加载生成1个令牌,那么它很简单 - 我生成新令牌,将其放在DOM中的某个位置,然后使用Javascript找到它并发送到处理端.
但是,如果我想为每个操作使用新令牌呢?我正在考虑做一个ajax调用来重新生成令牌,然后将结果传递给处理页面.
这会增加安全风险吗?我正在考虑引诱用户使用脚本来寻求令牌,然后使用它来发出请求,然后再次跨域Javascript被禁止.它可以用闪光灯完成吗?
也许另一种保护来自CSRF的ajax调用的方法?
谢谢!
Sri*_*nan 27
有几种技术,当一起使用时,提供足够的CSRF保护.
独特的令牌
对于大多数应用程序,单个特定于会话的令牌就足够了.只需确保您的网站没有任何XSS漏洞,否则您使用的任何令牌技术都是浪费.
AJAX调用重新生成令牌是一个坏主意.谁会守卫守卫?如果AJAX调用本身容易受到CSRF的影响,那就有点失败了.使用AJAX的多个令牌通常是个坏主意.它强制您序列化您的请求,即一次只允许一个AJAX请求.如果你愿意忍受这个限制,你可以为第二个AJAX调用搭载令牌以响应第一个请求.
就个人而言,我认为最好为关键事务重新验证用户身份,并使用特定于会话的令牌保护剩余的事务.
自定义HTTP标头
您可以为每个请求添加自定义HTTP标头,并检查其在服务器端的存在.实际的密钥/值不需要是秘密的,服务器只需要确保它存在于传入的请求中.
这种方法足以在较新版本的浏览器中保护CSRF,但是如果您的用户使用的是Flash Player的旧版本,则可能会解决此问题.
检查推荐人
检查Referrer标头也可以在较新的浏览器中保护CSRF.它不可能欺骗这个标题,虽然它可以在旧版本的Flash中使用.因此,虽然它不是万无一失,但它仍然增加了一些保护.
解决Captcha
强制用户解决验证码对CSRF也有效.它不方便,但非常有效.即使您有XSS漏洞,这也许是唯一有效的CSRF保护.
摘要