标头和cookie中的CSRF令牌在请求中不匹配

时间:2015-02-13 21:15:01

标签: angularjs cookies http-headers csrf

我正在实施无状态API,我的组织表示我需要防范CSRF攻击。

我在网上发现了这个人的解决方案,并决定尝试实施仅限客户端的方法:http://blog.jdriven.com/2014/10/stateless-spring-security-part-1-stateless-csrf-protection/

以下是网站为无状态解决方案所做的事情(如果网站出现故障):

  
      
  1. 客户端生成的CSRF-TOKENS。让客户端在Cookie和自定义HTTP中生成并发送相同的唯一秘密值   头。考虑到网站只允许读/写Cookie   对于自己的域,只有真实站点可以在两者中发送相同的值   头。使用这种方法,您的服务器所要做的就是检查是否   在每个请求的无状态基础上,两个值都是相等的!
    2.   

不幸的是它没有用。我的标题值永远不会匹配我的cookie值,在某些情况下,我的标题似乎只是匹配cookie值的一个请求。

这是我的Angular代码:

 app.config(['$httpProvider', function ($httpProvider) {
     //fancy random token
     function b(a){return a?(a^Math.random()*16>>a/4).toString(16):([1e16]+1e16).replace(/[01]/g,b)};

     $httpProvider.defaults.xsrfHeaderName = 'X-CSRF-TOKEN';
     $httpProvider.defaults.xsrfCookieName = 'CSRF-TOKEN';

     $httpProvider.interceptors.push(function () {
         return {
             'request': function (config) {
                 document.cookie = 'CSRF-TOKEN=' + b();
                 return config
             }
         };
     });
 }]);

以下是正在发送的CSRF值的一些示例。

 CSRF-TOKEN=d25cf03a985d575ad48a863eac91467666
 X-CSRF-TOKEN:fa1f165df8b27195a90f5e7841108f4e42

 CSRF-TOKEN=d25cf03a985d575ad48a863eac91467666
 X-CSRF-TOKEN:fa1f165df8b27195a90f5e7841108f4e42

 CSRF-TOKEN=9c8dd46ed06c250b707ac0cb80a08a23ac
 X-CSRF-TOKEN:d25cf03a985d575ad48a863eac91467666

 CSRF-TOKEN=eb407a0303c21173fe4d0ae03c97eaea6d
 X-CSRF-TOKEN:0cf066bf83e50b5c74cb932ab8a47c94e8

 CSRF-TOKEN=506355a940a2ac5b48f363712b34570d73
 X-CSRF-TOKEN:eb407a0303c21173fe4d0ae03c97eaea6d

这里发生了什么?我觉得我正在做那个家伙解决方案中的所有事情,但最终会得到奇怪的结果。

1 个答案:

答案 0 :(得分:0)

我最终没有发送客户端为每个请求创建的随机令牌。我无法让它发挥作用。

所以这就是我解决问题的方式(种类):

(1)在每个请求(包括第一个请求)上,我从API返回一个名为“XSRF-TOKEN”的响应头中的cookie以及与之关联的随机值。这是AngularJS在使用CSRF保护时默认查找的名称。

(2)收到该令牌后请求中发生的事情是,AngularJS使用该令牌的值在名为“XSRF-TOKEN”的请求头中发送cookie,还使用名为“X-XSRF-TOKEN”的头部该令牌的价值也是如此。

所以我的API处理随机化XSRF令牌,我的应用程序仍然是无状态的。我正在使用Web API,并使用全局过滤器来处理此XSRF令牌创建。下面是我的代码(在C#中)。我不再在UI中处理任何代码(因为它似乎不需要):

public class ValidateAntiForgeryToken : ActionFilterAttribute
{
    private const string XsrfCookieName = "XSRF-TOKEN";

    private const string XsrfHeaderName = "X-XSRF-TOKEN";

    private const string CsrfTokenSalt = "RANDOM SALT";


    public override void OnActionExecuting(HttpActionContext filterContext)
    {
        string requestMethod = filterContext.Request.Method.Method;

        Boolean isValid = true;

        if (requestMethod != "GET")
        {
            var headerToken = filterContext.Request.Headers.Where(x => x.Key.Equals(XsrfHeaderName, StringComparison.OrdinalIgnoreCase))
                .Select(x => x.Value).SelectMany(x => x).FirstOrDefault();

            var cookieToken = filterContext.Request.Headers.GetCookies().Select(x => x[XsrfCookieName]).FirstOrDefault();

            // check for missing cookie or header
            if (cookieToken == null || headerToken == null)
            {
                isValid = false;
            }

            // ensure that the cookie matches the header
            if (isValid && !String.Equals(headerToken, cookieToken.Value, StringComparison.OrdinalIgnoreCase))
            {
                isValid = false;
            }

            if (!isValid)
            {
                filterContext.Response = filterContext.Request.CreateResponse(HttpStatusCode.Unauthorized);
                filterContext.Response.ReasonPhrase = "Unauthorized to make that request.";
                return;
            }
        }

        base.OnActionExecuting(filterContext);
    }


    public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)
    {
        string textToHash = RandomStringGeneration();
        string cookieText = HashService.HashText(textToHash, CsrfTokenSalt);

        var cookie = new CookieHeaderValue(XsrfCookieName, HttpUtility.UrlEncode(cookieText));

        /* don't use this flag if you're not using HTTPS */
        cookie.Secure = true;      
        cookie.HttpOnly = false; // javascript needs to be able to get this in order to pass it back in the headers in the next request

        /* if you have different environments on the same domain (which I did in one application using this code) make sure you set the path to be ApplicationPath of the request. Case sensitivity does matter in Chrome and IE, so be wary of that. */
        cookie.Path = "/";

        actionExecutedContext.Response.Headers.AddCookies(new[] { cookie });

        base.OnActionExecuted(actionExecutedContext);
    }
}

这是我的HashService.HashText()代码:

public class HashService
{
    public static string HashText(string text, string salt)
    {
        SHA512Managed hashString = new SHA512Managed();

        byte[] textWithSaltBytes = Encoding.UTF8.GetBytes(string.Concat(text, salt));
        byte[] hashedBytes = hashString.ComputeHash(textWithSaltBytes);

        hashString.Clear();

        return Convert.ToBase64String(hashedBytes);
    }
}

希望这可以帮助未来的无状态应用程序。不幸的是,发回的令牌仅在cookie值和标头值中与其自身进行比较。这是我现在能够验证它的唯一方法(我认为这是非常安全的)。我可能会为XSRF保护创建一个全新的表,并使用它来验证令牌确实是用户应该使用的令牌。这是我能够保持API无状态的唯一方法。

在阅读AngularJS的$ http文档后,我偶然发现了这个解决方案,该文档规定:

  

跨站点请求伪造(XSRF)保护:XSRF是一种技术   未经授权的网站可以获取用户的私人数据。角   提供了一种对抗XSRF的机制。执行XHR请求时   $ http服务从cookie中读取令牌(默认情况下为XSRF-TOKEN)   并将其设置为HTTP标头(X-XSRF-TOKEN)。既然只有JavaScript   在您的域上运行可以读取cookie,您的服务器可以   确保XHR来自您域上运行的JavaScript。该   不会为跨域请求设置标头。

     

要利用这一点,您的服务器需要在一个令牌中设置一个令牌   在第一个HTTP上称为XSRF-TOKEN的JavaScript可读会话cookie   GET请求。在随后的XHR请求中,服务器可以验证   cookie匹配X-XSRF-TOKEN HTTP标头,因此请确保   只有您域上运行的JavaScript才能发送请求。   对于每个用户,令牌必须是唯一的,并且必须由   服务器(防止JavaScript编写自己的令牌)。我们   建议令牌是您网站身份验证的摘要   带有盐的饼干,以增加安全性。

     

可以使用xsrfHeaderName和指定标题的名称   $ httpProvider.defaults的xsrfCookieName属性   config-time,运行时$ http.defaults或每请求配置   对象

相关问题
最新问题