CSRF保护

Question

关于阻止 CSRF 的文章有很多。

但我就是不明白：为什么我不能只解析目标页面表单中的 csrf 令牌并通过我的 forge 请求提交它？

Answer 1

如果您能够将脚本代码注入目标页面（XSS），那么是的，您可以这样做，从而使 CSRF 预防变得毫无用处。

CSRF 令牌必须存储在最终用户收到的页面中（否则他也不会知道）。

事实上，在安全评估中，XSS 通常不是评估其自身的潜在损害，而是评估其在此类攻击中的使用情况。

Answer 2

CSRF 攻击是盲目的。他们进行会话骑行，攻击者无法直接控制，除非他可以通过 XSS 漏洞提取令牌。通常可以使用会话范围的令牌。针对每个请求轮换令牌可能是一种矫枉过正的行为，并且可能会导致误报。我更喜欢将每个资源的令牌与主会话令牌一起使用。

Answer 3

CSRF 令牌每次对于每个用户和每个请求都应该是完全不同的令牌，因此攻击者永远无法猜到它。

对于 php、.net 和 javascript，请查看 OWASP CSRFGuard 项目 - 如果您正在使用 java 和 jsf 2.x，它已经针对 CSRF 进行了保存（只要您使用 POST 而不是 GET - 为此您将不得不等待 JSF 2.2）如果您没有使用 JSF，则使用 HTTPUtillities Interface<来自 OWASP ESAPI 的 /a> 也非常有帮助！

Answer 4

因为 CSRF 令牌的价值事先并不知道。