防止CSRF漏洞，CSRF令牌的替代方法

Question

防止CSRF的常用方法是使用隐藏在表单中的令牌。只是出于好奇，这是实际阻止CSRF的唯一方法吗？人们争论不需要CSRF令牌让我发疯，我需要理解为什么。我怎么能阻止CSRF攻击呢？

Answer 1

实际上使用CSRF令牌只是另一层防御。根据{{​​3}}，验证请求来源也可用于CSRF保护。要验证我们可以使用的来源，

1. Origin Header
   • OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet包括发起请求的方案，主机和端口的信息。
2. Referer Header
   • Origin header包含上一个网页的地址，其中包含指向当前请求网页的链接。

但是，使用此方法存在一些限制，例如标头的不可用性和完整性。攻击者可以通过多种方式更改这些标头的值。因此，建议始终具有多层防御。