反CSRF令牌和Javascript

时间:2010-09-08 01:33:41

标签: ajax security csrf antiforgerytoken

我正在尝试从CSRF保护应用程序(php和许多JS)。

我想使用令牌。

很多操作都是用AJAX完成的,所以我必须在Javascript中传递令牌。 如果我想为每个会话或每页加载生成1个令牌,那么它很简单 - 我生成新令牌,将其放在DOM中,然后使用Javascript找到它并发送到处理端。

但是,如果我想为每个操作使用新令牌呢? 我正在考虑做一个ajax调用来重新生成令牌,然后将结果传递给处理页面。

这会增加安全风险吗? 我正在考虑引诱用户使用脚本来寻求令牌,然后使用它来发出请求,然后再次跨域Javascript被禁止。 它可以用闪光灯完成吗?

也许另一种保护来自CSRF的ajax调用的方法?

谢谢!

1 个答案:

答案 0 :(得分:27)

有几种技术在一起使用时可提供足够的CSRF保护。

唯一标记

单个特定于会话的令牌足以满足大多数应用程序的要求。只需确保您的网站没有任何XSS漏洞,否则您使用的任何令牌技术都是浪费。

重新生成令牌的AJAX调用是一个坏主意。谁会守卫守卫?如果AJAX调用本身容易受到CSRF的影响,那就有点失败了。使用AJAX的多个令牌通常是个坏主意。它会强制您序列化您的请求,即一次只允许一个AJAX请求。如果你愿意接受这个限制,你可以为第二个AJAX调用搭载令牌以响应第一个请求。

就个人而言,我认为最好为关键交易重新验证用户身份,并使用会话特定令牌保护剩余交易。

自定义HTTP标头

您可以为每个请求添加自定义HTTP标头,并检查其在服务器端的存在。实际的密钥/值不需要是保密的,服务器只需要确保它存在于传入的请求中。

这种方法足以在较新版本的浏览器中保护CSRF,但如果您的用户使用的是旧版本的Flash Player,则可能会解决此问题。

检查推荐人

检查Referrer标头也可以在较新的浏览器中保护CSRF。它不可能欺骗这个标题,虽然它可以在旧版本的Flash中使用。因此,虽然它不是万无一失的,但它仍然会增加一些保护。

解决验证码

强制用户解决验证码对CSRF也有效。它不方便,但非常有效。即使您有XSS漏洞,这也许是唯一有效的CSRF保护。

<强>摘要

  1. 使用基于会话的令牌,但为高价值交易重新进行身份验证
  2. 添加自定义http标头,并检查引荐来源。两者都不是万无一失,但不要伤害