使用javascript进行CSRF保护？

Question

我可以通过使用 javascript 生成 csrf 令牌客户端并使用此令牌从 javascript cookie 设置并将此令牌添加到发布请求来防止 CSRF 吗？

服务器端：检查 cookie[token] === post[token]

Answer 1

不，怎样才能阻止攻击者做同样的事情呢？服务器需要拥有其中一项凭据。

Answer 2

我不相信这会起作用。攻击者可以复制您的算法来生成令牌并发送有效值。您希望在服务器上设置该值并确保该值不能被篡改。

Answer 3

如果您将 PHP 与 JavaScript 一起使用，那么也许有一种方法可以保护它，请查看 OWASP CSRFGuard 项目，但我没有深入研究它，只是发现了这个

为 PHP 和 JavaScript 实现 CSRFGuard 风格解决方案的项目。

但实际上，我不知道这是否是一个安全的实现...

我知道 OWASP 上的一些人正在努力让 ESAPI 为 JavaScript 做好准备（这就是 Chris Schmidt 在此 Video ) 但我不知道他们现在有多远，看看 esapi.org