如何制作跨域形式的CSRF和抗重放？

Question

我正在考虑制作一个项目，但我想知道跨站点请求伪造是否会使其无法确保安全。

基本上，我希望有一个 Web 服务，可以在另一个域的页面上使用常用技巧（JSON-P 和 iframe）生成表单。因此，WebService.example.com 生成一个表单的 HTML，并在 User.example.com 上向用户显示。

我认为该表单必须使用注入的 iframe 技巧从 javascript 提交表单。因为任何人都可以从 WebService.example.com 获取相同的数据，所以我如何确保它实际上仅来自 User.example.com？最好不需要在 User.example.com 上运行任何服务器端代码。

请注意，我将使用 ASP.Net 作为 WebService，但我希望以与语言/框架无关的方式对其进行解释

Answer 1

如果不在两个域上使用服务器端脚本，这是很难做到的。

如果您更改架构并仅使用跨域消息传递（在顶级域中托管表单等，使用 iframe 进行通信），那么您可以使用 XDM 来验证它确实是您正在交谈的预期域。

如果您仅针对支持 HTML5 的浏览器，则使用 postMessage，如果您需要更广泛的支持以及 RPC 等内容，则使用 easyXDM，它消除了跨域消息传递的所有麻烦。

实际上，您可以在任一文档中托管表单，只需使用 XDM 通信即可成功“握手”，验证来源。