当前位置: 首页 > 面试题库 >

反CSRF令牌和Javascript

马星阑
2023-03-14
问题内容

我正在尝试从CSRF保护应用程序(PHP和许多JS)。

我想使用令牌。

AJAX完成了许多操作,因此我必须在Javascript中传递令牌。如果我想为每个会话或每个页面加载生成1个令牌,这很简单-
我生成一个新令牌,将其放在DOM中的某个位置,然后使用Javascript查找并发送到处理端。

但是,如果我想为每个操作使用新令牌怎么办?我正在考虑进行ajax调用以重新生成令牌,然后将结果传递给处理页面。

这会增加安全风险吗?我正在考虑诱使用户使用脚本询问请求令牌,然后使用它发出请求,然后再次禁止跨域Javascript。可以用Flash完成吗?

也许是另一种保护CSRF免受CSRF调用的方法?

谢谢!


问题答案:

有几种技术,当一起使用时,可以提供足够的CSRF保护。

唯一令牌

对于大多数应用程序而言,单个特定于会话的令牌就足够了。只需确保您的站点没有任何XSS漏洞,否则您采用的任何令牌技术都是一种浪费。

AJAX调用以重新生成令牌是一个坏主意。谁来守护警卫?如果AJAX调用本身容易受到CSRF的攻击,则可能无法达到目的。使用AJAX的多个令牌通常是个坏主意。它迫使您序列化您的请求,即一次仅允许一个AJAX请求。如果您愿意承受这种限制,则可以响应第二个AJAX调用的第一个请求,背负令牌。

就个人而言,我认为最好对用户进行关键交易进行身份验证,并使用会话特定的令牌保护其余交易。

自定义HTTP标头

您可以将html" target="_blank">自定义HTTP标头添加到每个请求中,然后在服务器端检查其是否存在。实际的键/值不需要保密,服务器只需要确保其存在于传入请求中即可。

这种方法足以在较新版本的浏览器中保护CSRF,但是如果您的用户使用的Flash Player版本较旧,则可能也可以解决此问题。

检查推荐人

检查Referrer标头也可以保护较新的浏览器中的CSRF。尽管在较早版本的Flash中有可能欺骗该标头,但是这是不可能的。因此,尽管它不是万无一失的,但它仍然可以提供一些保护。

解决验证码

强迫用户解决验证码对CSRF也有效。它给地狱带来了不便,但是非常有效。即使您具有XSS漏洞,这也可能是唯一有效的CSRF保护。

摘要

  1. 使用基于会话的令牌,但对高价值交易重新进行身份验证
  2. 添加自定义的HTTP标头,并检查引荐来源网址。两者都不是万无一失的,但不要伤害


 类似资料:
  • 问题内容: 我有2个html页面。 父页面和子页面。子页面包含一个提交按钮,该按钮在父页面上运行代码以提交Ajax消息。 我使用$ .load()方法加载子页面,然后在单击按钮时运行$ .ajax .POST方法。此post方法仅将JSON字符串传递给Python代码。 当我在除IE以外的任何浏览器上执行此操作时,它工作正常。但是,当我在IE中运行此代码时。我收到有关CSRF令牌的Python /

  • 本页描述了解释CSRF攻击的用例(16.1): https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html 但是,如果用户确实登录了银行的网站,那么邪恶的网站难道不可能发出GET请求以获取新的CSRF令牌,并在根本不需要用户的情况下撰写帖子吗? 答案必须是否定的,否则CSRF令牌将毫无用处,但我

  • 问题内容: 我有使用mod_wsgi在apache服务器上运行的django,以及由apache(而不是django)直接提供服务的angularjs应用。我想对django服务器进行POST调用(运行rest_framework),但csrf令牌存在问题。 是否可以通过某种方式从服务器设置令牌而不将其作为模板的一部分放置(因为这些页面没有经过django)? 我希望能够通过GET请求以cooki

  • 问题内容: 我在CSRF令牌方面遇到问题。当我提交表单时,正在生成一个新的表单,但是我想我正在生成两个不同的令牌,这有点困惑。还有一个名为的令牌,因此我在开发人员工具中看到了两个不同的cookie(XSRF- TOKEN和_csrf),发布后它们没有变化。 我想要做的是为每个帖子请求生成一个新令牌,并检查它是否有效。我知道为了安全起见应该这样做,但是我坚持了下来。 漫长的一天,我是Express和

  • 请澄清我对CSRF攻击的概念。在csrf中,我们从隐藏字段发送令牌,即, 我们会在会议的基础上提交表格。如果攻击者找到我的表单并更改隐藏值并提交表单,则他将成功。我怎样才能防止形成。

  • 我目前正在尝试创建一个小型web应用程序,Angular 2作为前端,Rails 4作为后端-我的后端只是一个API,而我的前端只是发送请求。 我今天在试图提交帖子请求时遇到了CSRF令牌真实性错误-如何将这些CSRF标题添加到我的Angular 2标题中?