如何使用 Perl 和 Apache 防止跨站点请求伪造？

Question

是否有任何我可以使用的透明库或简单的库，以便我可以防止 跨站点请求伪造（CSRF ） 使用 Perl 和 Apache？ 如何为表单生成令牌并在服务器端验证它们？

Answer 1

看看 CGI::Application::Plugin::ProtectCSRF< /a> 确实如此。 该模块适用于 CGI::Application 框架。

为其他框架修改模块应该不会太难。
基本上，用户表单获得一个隐藏的 HTML 字段，其中添加了生成的令牌，并且会话对象获得相同的令牌。 提交表单时，会将表单提交的令牌与会话对象（位于服务器上）中的令牌进行比较。 如果它们不匹配，则可能发生了 CSRF。

还有一个 Catalyst 插件： Catalyst::Controller::RequestToken

这些模块使用属性处理程序，因此只需对现有应用程序进行很少的修改。

Answer 2

为了防止服务器端的“跨站点请求伪造”，最好：

1. 使用 HTML 转义。 如果您使用某些模板系统（例如 Template Toolkit），则应该使用其转义功能。 如果您使用 CGI.pm，它有“escapeHTML”子程序可以执行此操作。
2. 将会话 cookie 的生命周期限制在相对较短的时间内。 对于 CGI::Session 可以使用 $session->expire($time) 来完成。
3. 输出易受攻击的页面时检查引用者。
4. 不要使用/接受 GET 请求来修改数据。

这样做是特定于框架的，但很简单。