这个CSRF对策有效吗？

Question

请告诉我以下防范 CSRF 的方法是否有效。

1. 生成令牌并保存在服务器上
2. 通过 cookie 将令牌发送到客户端
3. 客户端上的 JavaScript 读取 cookie 并将令牌添加到表单中，然后 POSTing
4. 服务器将表单中的令牌与保存的令牌进行比较。

任何人都可以看到通过 cookie 发送令牌并使用 JavaScript 读取它而不是将其放入 HTML 中的任何漏洞吗？

Answer 1

如果一个人的流量受到监控，黑客也可能会获得令牌。但这听起来是一个很棒的计划。我会尝试添加一个蜜罐。尝试将令牌伪装成其他东西，这样它就不明显了。如果它被触发，请将不良用户发送到蜜罐中，这样他们就不会知道自己已经被欺骗了。

我的安全理念很简单，最好用一个故事来说明。
两个男人正穿过树林。他们看到一只熊，吓坏了，开始逃跑。当熊追上他们并抓住其中一只时，告诉另一只熊：“我们永远跑不过这只熊”。另一个人回答说：“我不需要跑过熊，我只要跑过你就行了！”

您可以添加到您的网站以使其更安全、您的处境更好的任何内容。使用框架，验证所有输入（包括任何公共方法中的所有输入），你应该没问题。

如果您存储敏感数据，我会设置第二个无法访问互联网的 SQL 服务器。让您的后端服务器不断访问您的前端服务器，提取敏感数据并将其替换为虚假数据。如果您的前端服务器需要敏感数据（这很可能），请使用一种特殊方法，该方法使用不同的数据库用户（具有访问权限）从后端服务器中提取数据。有人必须完全拥有你的机器才能解决这个问题……而且你仍然需要足够的时间才能拔掉插头。最有可能的是，他们会在意识到它是伪造的之前提取您的所有数据......哈哈。

我希望我有一个好的解决方案来更好地保护您的客户以避免 CSRF。但你所拥有的看起来是一个很好的威慑力。

Answer 2

这个问题在 Security Stack Exchange< /a> 关于这个主题有一些有用的讨论。

我特别喜欢@AviD的回答：

Don't.
-
Most common frameworks have this protection already built in (ASP.NET, Struts, Ruby I think), or there are existing libraries that have already been vetted. (e.g. OWASP's CSRFGuard). 

Answer 3

同步器令牌模式依赖于将客户端已知的随机数据与表单中发布的数据进行比较。虽然您通常会在页面渲染时从填充有令牌的隐藏表单中获取后者，但通过使用 JavaScript 填充它，我看不到任何明显的攻击向量。攻击站点需要能够读取 cookie 来重建 post 请求，但由于跨域 cookie 的限制，攻击站点显然无法做到这一点。

您可能会发现OWASP Top 10 .NET 开发人员第 5 部分：跨站点请求伪造 (CSRF) 很有用（很多常规 CSRF 信息），特别是有关跨源资源共享的部分。