GWT RPC - 它是否足以防范 CSRF？

Question

更新：GWT 2.3 引入了更好的机制来对抗 XSRF 攻击。请参阅 http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf。 设置两个自定义请求标头

---

GWT 的 RPC 机制对每个 HTTP 请求执行以下操作 -

1. - X-GWT-Permutation 和 X-GWT-Module-Base
2. 将内容类型设置为 text/x-gwt-rpc； charset=utf-8

HTTP 请求始终是 POST，并且在服务器端 GET 方法会引发异常（不支持该方法）。

此外，如果这些标头未设置或具有错误的值，服务器将无法处理并出现异常“可能是 CSRF？”或类似的东西。

问题是：这足以防止 CSRF 吗？有没有办法在纯跨站请求伪造方法中设置自定义标头并更改内容类型？

Answer 1

如果浏览器正在使用此 GWT RPC，那么它 100% 容易受到 CSRF 的攻击。内容类型可以在 html

元素中设置。 X-GWT-Permutation 和 X-GWT-Module-Base 不在 Flash 的 禁止标头。因此，可以使用 Flash 进行 CSRF 攻击。您可以信任的用于 CSRF 保护的唯一标头元素是“引用者”，但这并不总是最好的方法。尽可能使用基于令牌的 CSRF 保护。

以下是我编写的一些漏洞利用程序，这些漏洞应该可以帮助您了解我所描述的晦涩攻击。 Flash 漏洞利用类似于 this 以及
这里是一个改变内容类型的js/html漏洞。

我的漏洞是为 Flex 3.2 编写的，Flex 4 (Flash 10) 中的规则已更改，以下是 最新规则，大多数标头只能针对请求 POST 进行操作。

使用 navigateTo() 进行 CSRF 的 Flash 脚本：
https://github.com/TheRook/CSRF-Request-Builder

Answer 2

GWT 2.3 引入了更好的机制来对抗 XSRF 攻击。请参阅 GWT RPC XSRF 保护

Answer 3

我知道我问了这个问题，但经过大约一天的研究（感谢 Rook 的指点！），我想我有了答案。

GWT 提供的开箱即用功能不会保护您免受 CSRF 的侵害。您必须执行 GWT 安全性中记录的步骤应用程序以保持安全。

GWT RPC 将“content-type”标头设置为“text/x-gwt-rpc; charset=utf-8”。虽然我没有找到使用 HTML 表单进行设置的方法，但在 Flash 中这样做很简单。

自定义标头 - X-GWT-Permutation 和 X-GWT-Module-Base 有点棘手。无法使用 HTML 设置它们。此外，除非您的服务器在 crossdomain.xml 中明确允许，否则无法使用 Flash 设置它们。请参阅 Flash Player 10 安全性。

此外，当 SWF 文件希望
在任何地方发送自定义 HTTP 标头
除了它自己的起源宿主之外，
必须有一个策略文件
请求的 HTTP 服务器
正在发送。该政策文件必须
枚举 SWF 文件的主机
起源（或更大的主机集）为
被允许发送自定义请求
该主机的标头。

现在 GWT 的 RPC 有两种风格。有旧的自定义序列化格式 RPC 和新的基于 JSON 的 de-RPC。 AFAICT，客户端代码始终设置这些请求标头。旧式 RPC 现在不会在服务器端强制执行这些标头，因此可能会发生 CSRF 攻击。新风格的 de-RPC 强制执行这些标头，因此可能会也可能不会攻击它们。

总的来说，我想说，如果您关心安全性，请确保在请求中发送强 CSRF 令牌，并且不要依赖 GWT 来阻止它。

Answer 4

我不确定是否有一种简单的方法（我也非常想找出答案！），但至少似乎有一些高级方法可以使用任意标头实现任意跨站点请求：http://www.springerlink.com/content/h65wj72526715701/ 我还没买论文，但摘要和介绍听起来确实很有趣。

也许这里有人已经阅读了论文的完整版本，并且可以扩展一点？