对预防CSRF的质疑

Question

我对 CSRF 预防有一个疑问。许多网站表示可以通过使用每个会话随机生成的“令牌”来防止 CSRF。

现在我的疑问是， 假设我有一个像这样的函数：

$.post("abcd.php",{'fbuid':userid,'code':'<?php echo  md5($_SESSION['randcode']); ?>'}

现在这个 md5 哈希显然可以通过源代码对任何黑客可见。他可以简单地打开这个页面，生成一个令牌，并保持页面打开，这样会话就不会被破坏，并使用另一个选项卡或其他任何东西来开始黑客攻击，

不是吗？

或者我对代币的想法不正确？

感谢您的帮助：D

Answer 1

我认为您误解了需要做什么。为了防止 CSRF，您需要创建一个令牌并为该会话保存它。然后，您需要使用该令牌附加所有提交和 AJAX 调用。

为了让其他人将您转到您网站上的页面，他们需要在同一会话中有权访问该请求。确实，人们可以解析 HTML 并查找令牌。但是，当他们尝试在您的网站上请求 http 调用时，他们将创建一个新会话。新会话将有一个新令牌，该令牌与传递的令牌不匹配。

接下来您会问如果您可以复制 cookie 和会话 ID 结果会怎么样。这不是受保护的东西。我可以简单地坐在任何人的计算机上并复制他们所有的cookie，然后我将以他们的身份登录。

Answer 2

正如 kapep 指出的那样，您混淆了输入验证和跨站点表单发布这两个独立的问题。无论如何，您都必须验证您的输入，因此，如果您有健全的输入验证，那么恶意攻击者使用自己的会话令牌的情况就已经得到处理。 CSRF 保护并不是为了保护数据，它只是为了确保只有您自己的应用程序中的表单才能将数据发送回该应用程序。 CSRF 保护只是阻止其他人从他们在自己网站上发布的表单直接将数据发布到您的应用程序中。

需要注意的一个具体点是，该令牌对于页面上运行的任何 JavaScript 都是可见的，因此一旦存在跨站脚本 (XSS) 漏洞，您的 CSRF 保护就会失效。

请参阅跨站脚本和预防备忘单

Answer 3

您应该使用每个请求令牌。

1. 生成令牌并将其存储在会话中。
2. 将令牌传递给客户端。
3. 执行行动。
4. 销毁令牌。

令牌更安全，不能多次使用。

Answer 4

我将被盗令牌定义为由其他人使用的令牌，而不是您将令牌发送到的人。如果您向某人发送令牌，他实际上无法从自己那里窃取它。

如果您担心用户可以使用自己的令牌运行恶意脚本，那么您的设计似乎已被破坏。您无法阻止用户发送您不打算接收的数据。您的工作是验证任何数据，会话令牌只是用于识别同一客户端的多个请求。

如果您通过不安全的 http 发送该令牌，则可能会出现安全问题。然后，通过监控客户端网络，它很容易被盗。