GWT - 处理 XSRF/CSRF

Question

我是否正确，如果我在每个 RPC 请求中传递一个自行生成的 sessionID，并且仅检查此 sessionID 而不是 cookie 标头中传递的 sessionID，则会话不会被恶意站点劫持？我知道您还应该在 cookie 中发送此 sessionID，然后将其与每个请求发送的 sessionID 进行比较，以检测 XSRF 攻击，但按照我的方式这样做至少应该可以防止 XSRF 攻击，不是吗？

编辑

我知道 GWT 2.3 通过提供 XSRF 令牌支持来处理 XSRF。遗憾的是我被 GWT 2.2 困住了，所以必须自己处理它。

Answer 1

是的，因为浏览器没有足够的信息来说服您的应用程序它具有正确的凭据。在传统的 XSRF 攻击中，浏览器机制本身就会被利用，如果它不知道如何发送额外信息或发送哪些信息，那么它就无法工作。

然而，通过这种方法，我会意识到恶意攻击者仍然可以破坏您自己生成的 sessionID，并在他们弄清楚该机制后立即使用它。

请参阅此有关加密随机数的 Wiki 页面了解更多想法。在使用随机数时，您正在创建只能在该时刻使用的东西。一旦时间过去，数据要么变得无用（就密码与时间的关系而言），要么不会被服务器接受。传统上，这用于防止重放攻击，因为，请原谅我，随机数已经过去了。

Answer 2

您可能需要查看 OWASP 的 CSRF Guard 项目。他们使用过滤器检查向服务器发出的每个请求是否包含所需的 CRSF 令牌。它是相当可配置的 - 您可以指定防御的各个方面，例如：

• 不需要保护
• 入口点的 URL，其中 CRSF 令牌
  生成（登录时）的
• 是在可能的攻击时 行为
  它实际上是

一个不需要更改代码的解决方案，其中最新版本还支持对服务器的 AJAX (RPC) 调用。所以我相信这绝对是一个值得尝试的选择（我目前正在为一个相当大的 GWT 应用程序 POCing 这个解决方案）。

最后，我相信您已经建立了针对 XSS 的防御措施。因为如果 XSS 可能的话，XSRF 防御就可以失效（更何况 XSRF 攻击一般都是通过 XSS 发起的）。