CSRF - 发送ajax请求以获取令牌

时间:2017-12-28 12:44:13

标签: php session csrf

我正在为我的网站开发CSRF保护。

我在表单+会话中将隐藏输入中的令牌保存,然后我检查它们是否相等。

我只是想知道这种情况:

  • 用户访问恶意网站
  • 恶意网站发送ajax GET请求以获取带有表单的页面并从中提取令牌
  • 恶意网站发送POST请求以更改先前提取的数据+令牌。

在这种情况下,这可能吗?我错过了什么吗?

1 个答案:

答案 0 :(得分:0)

每个网站都必须有一个唯一的令牌才能使其正常工作,并且它被分配到服务器端。看看我们如何制作它的一个小例子:https://blog.myetv.tv/2017/09/18/writing-secure-code-how-myetv-do-crypt-auth-transfer-and-store-informations/

您可以在令牌中使用sessionID或/和其他类型的数据,例如userip(如果您希望也可以使用AES加密它们,使其更加独特,基本上无法克隆);加密方法只是额外的,并且在速度方面可能非常密集,您应该重视它的使用方式(在大多数情况下,使用SHA进行散列的唯一sessionid就可以了)。

希望它有所帮助;)