通过跨域 JavaScript 调用防止 CSRF

Question

我希望保护我的网站免遭跨站请求伪造。我正在尝试遵循这些建议，通过发送特定于会话的令牌以及需要保护的所有请求。

问题是我有一些请求被设计为由不同域上的第三方网站调用。他们中的大多数使用 JSONP：他们使用

我的问题是，如何在这些请求中传递令牌？第三方网站似乎需要知道该令牌。我可以提供另一个以 JSON 形式返回令牌的请求，但不受信任的站点可以发出相同的请求，获取令牌，并使用它来伪造对我们服务器的请求。

有更好的方法吗？

Answer 1

XSRF 令牌通常是您在域中生成的 cookie。您确实不想引入一种机制来允许其他站点设置这些内容。验证消息是否来自受信任方最好将其视为签名验证问题。

您可以让每个合作伙伴站点生成并保留私有/公共签名密钥对。然后他们可以向您发送他们的公钥。

然后他们可以签署发给您的消息。

因此，他们的请求看起来像这样

 <script src="https://.../yourservice?partnerid=foobar&signedquerystring"></script>

，然后您可以使用您通过密钥 foobar 查找的公钥来签名检查签名的查询字符串是否已正确签名。

您现在知道，如果请求具有您的 XSRF 令牌或者使用与您建立关系的合作伙伴的私钥正确签名，则可以信任该请求。

这不会阻止可以观察到正在查看合作伙伴网站的登录用户重播请求的人，因此合作伙伴网站和您的脚本都应该通过安全通道 (https) 加载，就像您可以多次使用 XSRF 令牌。

Answer 2

我正在使用的解决此问题的方法是将 IFRAME 嵌入到我正在创建的外部小部件的 UI 中。这里唯一的缺点是其他人可能在点击劫持攻击中使用此 iframe。您可以在这里阅读相关内容：https://security.stackexchange.com/questions/13341/security -使用 iframe 的问题。

Answer 3

我对 JSONP CSRF 问题有最简单的解决方案，添加“While(1);”或“for(,,);”或扔“F*** U”；在 json 响应数据的开头。

现在任何 JSONP 请求都会陷入无限循环。由于您没有使用 JSONP 请求，因此您可以通过此代码修改响应

JSON.parse(this.responseText.slice("while(1);".length));