CSRF 和不断变化的代币

Question

我刚刚在 CSRF 上看过 Doctype 剧集。

他们在其中表示，CSRF 的最佳预防方法是从一些用户唯一数据（例如散列会话 ID）创建令牌，然后将其与您的请求一起 POST。

生成一个难以猜测的值（例如 GUID）并将其存储为会话变量并将其作为隐藏字段放入页面中是否会不太安全？

每次加载页面时，该值都会改变，但 POST 数据的测试将在此之前进行。

在我看来，这同样安全。我错了吗？

Answer 1

只要令牌无法以任何方式猜测或确定，令牌的来源可能就不那么有趣了。但请注意在每个请求上生成新令牌，因为这意味着您的网站将无法供打开两个或更多浏览器选项卡到您网站的用户使用。通过在用户会话期间坚持使用一个令牌值，您可以避免这一问题。

每个请求都更改令牌可以说更安全。但处罚很可能被认为太高了。就像涉及安全性的几乎所有事情一样，您经常发现必须在用户体验的便捷性之间进行权衡 - 给我找一个喜欢验证码的用户！为您的应用程序和用户找到适当的平衡对于您的安全性和可用性都很重要。

在 Open Web Application 上有一些关于 CSRF（以及更多内容）的好读物安全项目

另请记住，如果受令牌保护的页面上只有一个跨站脚本漏洞，那么您的 CSRF 令牌现在就没用了。另请参阅OWASP XSS（跨站脚本）预防备忘单。