在asp.net中,我正在实现一个IHttpModule来缓解CSRF攻击。它在响应html中使用GET上的asp.net SessionID注入一个隐藏的表单参数。在POST上,它然后检查以确保隐藏参数的值与当前的SessionID匹配。据我所知,获取SessionID值的唯一方法是来自cookie,恶意站点无法读取或确定。有什么我可以忽略的吗?
答案 0 :(得分:8)
这种方法是正确的。您需要确保通过GET操作可用的所有操作都是“安全的”(这是最佳实践),因为您只将XSRF保护应用于POST。
对于额外的保险,您也可以在GET上使用它(通过向所有链接添加URL参数,并在每个GET请求中检查它),但这很麻烦。
如果您特别偏执,可以为备用ID选择不同的随机数。即使浏览器错误地使您的会话cookie可以访问另一个站点上的某些恶意Javascript,这也可以保护您。创建会话时,请选择另一个大的随机数并将其存储在会话中。
答案 1 :(得分:6)
理想情况下,你会想要使用会话ID以外的东西,但基本上就是这样。 OWASP建议使用存储在用户会话中的随机表单元素名称。这样攻击者甚至无法伪造正确的隐藏字段。