CSRF防御方法

Question

我正在尝试使用每个表单中的隐藏密钥和特殊的临时 cookie 来保护我的 .NET 网站免受 CSRF 攻击，因此当用户发布表单时，我可以比较临时 cookie 密钥和表单中的隐藏密钥。

但我不想使用 Session 或其他共享对象来保留这些临时密钥，所以我想出了这种方法：

1. 浏览器请求表单（GET）。
2. 应用程序生成一个密钥，[userId] + [当前日期时间]，对称 使用我的应用程序的密钥加密 知道。
3. 应用程序将该密钥放在隐藏字段中 在表单中，并发送了一个 cookie 那把钥匙也是。浏览器 POST 表单。

4. 应用程序确保：

   1. cookie 值和隐藏表单值相同。
   2. 从解密后的值中可以得到一个[userId]，它就是当前的用户id。
   3. 可以从解密的值中获取[DateTime]。
   4. 获取的[DateTime] 时间不超过 15 分钟。

5. 否则，拒绝 POST 并显示错误。

你看到什么缺陷了吗？

亲切的问候。

Answer 1

您描述的策略通常有效，被称为“双重提交饼干”。 您应该了解一些事情

1. 但是关于.net 有一个框架来自动处理 CSRF， 。您应该找出并使用推荐的解决方案，而不是自己构建一些东西。不幸的是，我不是 .net 人员，因此无法指出正确的框架。
2. 如果您必须构建我们自己的 CSRF 保护，那么最好对会话 ID 使用加密随机数，而不是加密用户 ID + 时间戳。如果您不小心，有多种方法可以解密甚至修改密钥。请参阅填充 Oracle

Answer 2

为什么不使用内置的 ViewState 用户密钥？使用用户的登录名填充该内容即可完成。然而，这不会过期。

如果您没有经过身份验证的用户，或者因为不喜欢视图状态而不喜欢这种方法，那么您可以编写一个 HTTP 模块，该模块插入一个隐藏的表单字段，就像我在 codeplex - 您应该能够调整其到期时间。