我已经通过以下方式在我的nodejs服务器上实施了CSRF攻击防范 -
登录用户收到CSRF令牌和cookie(存储在cookie中的基于JWT的令牌)。 CSRF令牌是使用$.ajaxSetup从客户端发送的所有未来请求标头的一部分。
每当用户发出请求(GET或POST)时,我会将客户端发送的cookie和csrf令牌(在标题中)与我服务器上存储的令牌进行比较,并且应用程序正常工作。
但是,当登录用户打开新选项卡或新浏览器窗口时,客户端具有cookie但在其请求标头中没有CSRF令牌。因此服务器将此视为CSRF攻击并阻止请求!
我的问题是 - 在不牺牲CSRF安全性的情况下,如何在多个浏览器选项卡和窗口上运行相同的会话而无需用户多次登录?
答案 0 :(得分:3)
不要对GET请求使用CSRF保护。要在GET请求中传递CSRF令牌,您必须将其放入URL本身(例如,在查询参数中),并且URL不是放置安全敏感信息的好地方。它们倾向于通过各种方式泄漏,尤其是在跟踪链接或从受保护页面获取资源时发送Referer标头。
您应该确保所有具有活动效果的操作(即,更改数据库中的内容,写入文件系统或发送邮件的操作)仅通过POST请求公开,并通过适当的保护CSRF代币。没有任何有效效果的观点(例如查看页面,搜索某些内容)应该可以通过GET访问,并且不需要CSRF保护。然后,用户可以打开一个新选项卡并浏览到包含表单的页面而不会出现错误;表单将使用正确的参数生成,因此将提交确定。
附带问题:您使用的是Double Submit Cookie CSRF保护方法。这是......好吧......但不保护其他方法的一些场景。
(具体来说,如果攻击者可以执行cookie固定攻击 - 例如通过利用邻居/子子域上的易受攻击的应用程序,或通过HTTP上的MitM攻击到HTTPS站点 - 他们可以通过使用户绕过CSRF保护在上一步中推送给用户的请求参数中发送相同的值。)
如果网站是敏感网站或由于附近其他不太受信任的应用程序而特别容易受到攻击,您可能希望考虑使用Synchronizer Token替代方案或Encrypted Token(可以使用只是签名;如果你没有使用任何类型的会话存储,这是一个很好的选择。)
答案 1 :(得分:0)
我决定使用x-requested-with标题。默认情况下,此标头是jquery中所有AJAX个请求的一部分。
更多细节 -
What's the point of the X-Requested-With header?
https://security.stackexchange.com/questions/107906/alternative-to-anti-csrf-tokens-for-ajax-request-same-origin-policy
这允许交叉选项卡,跨窗口浏览,其中cookie用于用户身份验证,并且检查x-requested-with标头以防止CSRF攻击。