使用CORS时防止CSRF？

Question

我正在创建一个bookmarklet，以便用户可以从任何页面使用CORS跨域发布到我的服务器。用户必须在发布和使用cookie之前进行身份验证。有没有办法防止恶意网站在他们的网页中嵌入javascript代码，使用用户的凭证进行跨域发布到我的服务器？

Answer 1

理论上，可能有一个解决方案。

1. 在每个用户的书签中嵌入一个唯一的CSRF令牌。
2. 将书签中的代码包装在匿名函数中，这样页面就无法访问它。
3. 在您的书架中嵌入a strong hash function。这必须完全放在书签的代码中，以确保它不会被篡改。
4. 在XMLHttpRequest中，您发送：
   1. 消息
   2. 哈希：
      1. 消息
      2. 您的CSRF令牌
      3. 独特的长盐
      4. 用户标识
      5. 时间戳（仅用于确保消息是现在发送而不是在其他时间发送）
   3. 盐
   4. 时间戳
   5. 用户标识
5. 在您的服务器上，您验证：
   1. 时间戳在允许的误差范围内（这是必要的，因为用户的计算机时钟可能已关闭）
   2. 哈希是正确的
6. 如果一切正确，您可以发布消息。

这个概念存在一个缺陷：如果网站篡改了书签使用的任何功能（例如Array()），恶意网站仍然可以拦截，复制和/或修改message，userID或CSRF令牌。