CSRF 代币与 Nonce 混淆 - 它们相同吗？

Question

为了使我正在开发的当前应用程序更加安全，我一直在阅读有关 CSRF 令牌和 Nonce 的内容。

我的问题很简单，CSRF 代币和 Nonce 是同一个东西吗？到目前为止我所能收集到的是，这两种方法都有不同的技术来实现相同的目标，或者我是否误解了什么？

如果它们不同，您能否提供一些示例代码或向我指出一些链接，在这些链接中我可以了解有关如何在 PHP 应用程序中实现随机数的更多信息。

谢谢！

Answer 1

不，它们不一样。

Nonce 可以防止重播攻击（防止窃听者存储签名的请求并稍后重新提交，例如，如果 Alice 发送“向 Bob 支付 100 美元”，您不希望有人重新发送 100 次）。

CSRF 令牌修补了用户操作身份验证中特定于 HTML 的弱点，其中第 3 方网站可以提交带有用户查看该网站的凭据的表单（例如，使用您的浏览器在 evil.example.com 上提交表单到 facebook.com 上的 JavaScript，并按照您的身份进行身份验证） ）。

CSRF 令牌需要保密，否则攻击者将拥有伪造请求所需的缺失部分。

如果随机数是用请求者的秘密签名的，则它们不必是秘密的（只要攻击者不能用另一个随机数替换一个随机数）。

您可以允许使用 CSRF 令牌重播请求，并且仍然能够防范 CSRF（您感兴趣这是否是用户有意执行的操作，但可能不一定希望阻止用户多次执行该操作）。

事实上，这通常是有用的属性，例如允许用户使用“后退”按钮并重新提交具有更正值的表单。如果您使用类似 Nonce 的机制实现 CSRF 保护，那么当用户刷新提交的页面时，您将收到误报。

在没有 Nonce 的情况下防止 CSRF 的一个简单方法是将会话 ID 放在隐藏字段中（不是存储在会话中的值，而是会话本身的 ID，与存储在 cookie 中的相同） PHP 中的 session_id()]）。提交表单后，检查表单的会话 ID 是否与 cookie 中的 ID 匹配。这对于 CSRF 来说已经足够了，因为攻击者无法知道 cookie 的值（CSRF 只允许攻击者盲目发送 cookie）。

Answer 2

Nonce 通常是添加到请求中的一些随机字符串，只是为了以不可预测的方式更改数据，用于计算签名。因此，任何服务器端业务逻辑通常不使用随机数。

而CSRF-token存储在服务器上的某个位置，传递给客户端并需要返回到服务器进行比较。如果匹配 - 则确定。

因此，在您的情况下，最好将 csrf 令牌保存在会话变量中一次

$_SESSION['csrf_token'] = bin2hex(random_bytes(16));

，并在会话生命周期内以应用程序中的所有形式不加更改地使用它。

（如果您没有 random_bytes()，请使用 random_compat 来填充它.)

Answer 3

这有点像同一件事。 “随机数”本身只是一个一次性密码。它可以充当加密盐，但基本上只是一个随机值。请参阅 WP:Nonce

但总而言之，随机数经常被使用作为 CSRF 令牌。这是一个实施细节。与其他用例的区别在于它稍后被断言。

Answer 4

CSRF 有一些限制。
如果您有要求在新选项卡中打开任何页面或链接，则 CSRF 将不允许。现有令牌仅允许在新选项卡中打开页面 5 次。
当您尝试第六次打开时，它将创建与“服务器端 = 客户端令牌”不匹配的新令牌。较早的令牌将过期，并且将创建新的令牌（NONCE），在这种情况下，您将收到 404 或 405 错误。