这是关于生成CSRF令牌的问题。
通常我想基于与用户会话相关联的唯一数据生成令牌,并使用密钥进行散列和腌制。
我的问题是在没有唯一用户数据时生成令牌。没有可用的会话,cookie不是一个选项,IP地址和那种性质的东西是不可靠的。
为什么我不能将字符串包含在请求中作为请求的一部分? 示例伪代码生成令牌并嵌入它:
var $stringToHash = random()
var $csrfToken = hash($stringToHash + $mySecretKey)
<a href="http://foo.com?csrfToken={$csrfToken}&key={$stringToHash}">click me</a>
CSRF令牌的服务器端验证示例
var $stringToHash = request.get('key')
var $isValidToken = hash($stringToHash + $mySecrtKey) == request.get('csrfToken')
哈希中使用的字符串在每个请求上都是不同的。只要它包含在每个请求中,CSRF令牌验证就可以继续进行。由于每个请求都是新的,并且只嵌入在页面中,因此无法访问令牌。然后令牌的安全性落到我只知道的$ mySecretKey上。
这是一种天真的做法吗?我错过了为什么这不起作用的原因?
由于
答案 0 :(得分:28)
我是否有任何理由不能将字符串作为请求的一部分包含在哈希中?
CSRF代币有两部分。表单中嵌入的令牌,以及其他位置的相应令牌,可以是cookie,存储在会话中或其他地方。这种在别处的使用会阻止页面自包含。
如果在请求中包含要散列的字符串,那么请求是自包含的,因此复制表单是攻击者需要做的全部内容,因为它们具有令牌的两个部分,因此没有保护。 / p>
即使将其放在表单URL中也意味着它是自包含的,攻击者只需复制表单和提交URL。
答案 1 :(得分:7)
试试base64_encode(openssl_random_pseudo_bytes(16))。
https://github.com/codeguy/php-the-right-way/issues/272#issuecomment-18688498我将其用于https://gist.github.com/mikaelz/5668195
答案 2 :(得分:2)
CSRF令牌旨在防止(无意)数据修改,这些修改通常应用于POST请求。
因此,您必须为每个更改数据的请求(GET或POST请求)包含CSRF令牌。
我的问题是关于 没有时生成令牌 要使用的唯一用户数据。没有会议 可用,cookie不是 选项,IP地址和事情 自然不可靠。
然后只需为每个访问者创建一个唯一的用户ID。 在cookie或URL中包含该ID(如果禁用了cookie)。
编辑:
考虑以下事件:
您已登录到您的Facebook帐户,然后进入某个任意网站。
在该网站中,您提交了一个表单,告知您的浏览器向您的Facebook帐户发送POST请求。
该POST请求可能会更改您的密码或添加评论等,因为Facebook应用程序将您识别为已注册&amp;登录用户。 (除非有另一种阻止机制,如CAPTCHA)
答案 3 :(得分:1)
您只需在网址/表单和Cookie中使用相同的“令牌”即可。这意味着您可以让您的页面通过JavaScript将令牌cookie设置为它想要的任何内容(最好是一些随机值),然后在发送到服务器的所有请求中传递相同的值(作为URI?param或form-领域)。无需让您的服务器生成cookie。
只要我们相信浏览器不允许来自域的页面编辑/读取其他域的cookie,这是安全的,并且这被认为是非常安全的。
让您的服务器生成令牌将假定此令牌可以安全地传输到您的浏览器,而不会被任何CSRF尝试接收(为什么要承担风险?)。虽然您可以将更多逻辑放入服务器生成的令牌中,但是为了防止CSRF,没有必要。
(如果我错了,请告诉我)
答案 4 :(得分:1)
CSRF令牌有多种实现方式。关键是这个csrf令牌是在客户端还是服务器端生成的。因为这两种情况的实施变化很大,而且令牌的熵也是如此。
对于服务器端,SecureRandom是首选方式,但在您的情况下,您希望在识别任何用户之前生成CSRF令牌,window.crypto提供此功能,您可以在其中生成不足够的用于CSRF令牌的字符串。
答案 5 :(得分:0)
我认为最好的想法是基于HMAC制作哈希,即通过一些密码加密哈希这个序列:username + user_id + timestamp。每个请求的哈希必须是不同的,如果你不想在攻击中简单地重放哈希,那么时间戳必须是。
答案 6 :(得分:0)
我想说你的方法有效,因为CSRF攻击是攻击者利用受害者的浏览器来建立登录状态,为什么他们这样做呢?因为在大多数服务器端,会话检查是基于cookie中的SessionID,而cookie是一段数据将自动附加到发送给服务器的HTTP请求。
因此,保护CSRF有两个关键因素
答案 7 :(得分:0)
借助CSRF令牌,我们可以确保对传入请求进行身份验证(知道用户不是黑客)
请注意,我需要以下方法,但即使在stackoverflow上,谷歌也无法帮助我,但下面没有提到代码,但是在收集了stackoverflow答案之后,我就开始了。因此对于进一步搜索/特别是对于初学者来说很有用
我在下面介绍了带有Spring Interceptor的Spring MVC
注意-我已使用Google缓存将盐存储在缓存中以进行重新验证
以下依赖项需要添加pom.xml
<!-- https://mvnrepository.com/artifact/com.google.guava/guava -->
<dependency>
<groupId>com.google.guava</groupId>
<artifactId>guava</artifactId>
<version>28.0-jre</version>
</dependency>
在HandlerInterceptorAdapter实现之下
package com.august.security;
import java.security.SecureRandom;
import java.util.Enumeration;
import java.util.LinkedList;
import java.util.List;
import java.util.concurrent.TimeUnit;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import org.apache.commons.lang3.RandomStringUtils;
import org.springframework.web.servlet.ModelAndView;
import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
import com.google.common.cache.Cache;
import com.google.common.cache.CacheBuilder;
public class CsrfSecurity extends HandlerInterceptorAdapter {
List<String> urlList= new LinkedList<>();
private static final String CSRF_TAG = "CSRF-CHECK";
@SuppressWarnings("unchecked")
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handleer)
throws Exception {
System.out.println("Inside Pre Handler");
String reqUrl = request.getRequestURI().toString();
System.out.println("Request URL : " + reqUrl);
String ipAddress = request.getHeader("X-FORWARDED-FOR");
if (ipAddress == null) {
ipAddress = request.getRemoteAddr();
}
//local host url http://localhost:8080/august/
if (request.getRequestURI().contains("/august/")) {
System.out.println("pre handler return true");
//it will return and next executed postHandelr method
//because of on above url my webApplication page working
return true;
}
if (ignoreUrl().contains(request.getRequestURI())) {
System.out.println("inside ignore uri");
return true;
} else {
System.out.println("CSRF Security intercepter preHandle method started.......");
String salt = request.getParameter("csrfPreventionSalt");
HttpSession sessionAttribute = request.getSession();
Cache<String, Boolean> csrfPreventionSalt = (Cache<String, Boolean>) sessionAttribute
.getAttribute("csrfPreventionSalt");
if (csrfPreventionSalt == null) {
System.out.println("Salt not matched session expired..");
parameterValuesPrint(request, "saltCacheNotFound");
response.sendRedirect("error");
return false;
} else if (salt == null) {
parameterValuesPrint(request, "noSaltValue");
System.out.println("Potential CSRF detected !! inform ASAP");
response.sendRedirect("error");
return false;
} else if (csrfPreventionSalt.getIfPresent(salt) == null) {
System.out.println("saltValueMisMatch");
System.out.println("Potential CSRF detected !! inform ASAP");
response.sendRedirect("error");
} else {
request.setAttribute("csrfPreventionSalt", csrfPreventionSalt);
}
return true;
}
}
@SuppressWarnings("unchecked")
@Override
public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
ModelAndView modelAndView) {
System.out.println("Inside post Handler");
System.out.println("CSRF Security key generator method started");
try {
//localhost url http://localhost:8080/august/
//api is my controller path so no need to genrate token for api
if (request.getRequestURI().contains("/august/api/")) {
System.out.println("No need to genrate salt for api");
} else {
HttpSession sessionAttribute = request.getSession();
Cache<String, Boolean> csrfPreventionSaltCache = (Cache<String, Boolean>) sessionAttribute
.getAttribute("csrfPreventionSalt");
System.out.println("csrfPreventionSaltCache ::: " + csrfPreventionSaltCache);
if (csrfPreventionSaltCache == null) {
csrfPreventionSaltCache = CacheBuilder.newBuilder().maximumSize(5000)
.expireAfterWrite(20, TimeUnit.MINUTES).build();
request.getSession().setAttribute("csrfPreventionSaltCache", csrfPreventionSaltCache);
}
String salt = RandomStringUtils.random(20, 0, 0, true, true, null, new SecureRandom());
System.out.println("csrfPreventionSalt genrated ::: " + salt);
csrfPreventionSaltCache.put(salt, Boolean.TRUE);
if (modelAndView != null) {
System.out.println("Model and view not null and salt is added in modelAndView");
modelAndView.addObject("csrfPreventionSalt", salt);
}
}
} catch (Exception ex) {
System.out.println(ex.getMessage());
ex.printStackTrace();
}
}
@Override
public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex)
throws Exception {
System.out.println("afterCompletion : ");
if (ex != null) {
System.out.println("exception : " + ex.getMessage());
ex.printStackTrace();
}
}
private List<String> ignoreUrl() {
if(urlList == null) {
urlList.add("/august/error");
//add here your ignored url.
}
return urlList;
}
private void parameterValuesPrint(HttpServletRequest request, String err) {
StringBuilder reqParamAndValue = new StringBuilder();
Enumeration<?> params = request.getParameterNames();
while (params.hasMoreElements()) {
Object objOri = params.nextElement();
String param = (String) objOri;
String value = request.getParameter(param);
reqParamAndValue = reqParamAndValue.append(param + "=" + value + ",");
}
System.out.println(CSRF_TAG + " " + err + "RequestedURL : " + request.getRequestURL());
}
}
下面是带有Spring上下文的拦截器注册
package com.august.configuration;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.ViewResolver;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;
import org.springframework.web.servlet.view.InternalResourceViewResolver;
import com.august.security.CsrfSecurity;
@Configuration
@EnableWebMvc
@ComponentScan(basePackages="com.august")
public class SpringConfiguration extends WebMvcConfigurerAdapter {
@Bean
public ViewResolver viewResolver() {
InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
//viewResolver.setViewClass(JstlView.class);
viewResolver.setPrefix("/WEB-INF/views/");
viewResolver.setSuffix(".jsp");
return viewResolver;
}
@Bean
public CsrfSecurity csrfSecurity() {
return new CsrfSecurity();
}
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(new CsrfSecurity());
}
}
下面是我的控制器
package com.august.v1.appcontroller;
import javax.servlet.http.HttpSession;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
@Controller
public class HomeController {
@Autowired
HttpSession httpSession;
@RequestMapping("/")
public String index(Model model) {
httpSession.invalidate();
System.out.println("Home page loaded");
return "index";
}
}
下面是我的index.jsp jsp页面
<%@ page language="java" contentType="text/html; charset=ISO-8859-1"
pageEncoding="ISO-8859-1" isELIgnored="false"%>
//don't forget to add isELIgnored="false" on old(version) jsp page because of i
//have wasted 1 hour for this
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>ADS Home</title>
</head>
<body>
<h1>${csrfPreventionSalt}</h1>
<input type="hidden" name="csrfPreventionSalt" value=${csrfPreventionSalt}>
</body>
</html>
对于CSRF的理解-CSRF explanation
答案 8 :(得分:-2)
CSRF利用用户的会话,因此,如果您没有会话,则没有CSRF。