遇到跨站请求伪造攻击怎么办？

Question

我正在努力防止 CSRF 攻击。我在会话和表单中存储了一个随机值。处理表单时，我比较这两个值。 如果会话和表单值不相等，我应该终止脚本还是有更好的方法来处理这个问题？

Answer 1

如果真实用户不太可能发生这种情况，那么我会阻止脚本保存/返回任何数据，但我会返回“成功”消息，就好像它已经工作一样。如果您返回失败，它可以帮助黑客弄清楚您的验证是如何编码的。

另一方面，如果这种情况发生在真实用户身上，我会返回一个友好错误，并可能要求他们再次登录。

Answer 2

是的。就让它失败吧。恢复此类错误是没有意义的。

然而，您应该做的是编写一个日志条目来审核潜在的利用尝试：

syslog(LOG_ERR, "CSRF token mismatch ...");
die("Request failed. (Disabled cookies?) Contact administrator: ...");

包括一条可读的消息，以防它确实是浏览器错误或其他错误。但不要暴露失败的是 CSRF 令牌。