CSRF 代币 - 如何正确实施？

Question

我刚刚在我的应用程序中设置了一个简单的 CSRF 保护。它创建一个独特的碎屑，在提交表单时根据会话值进行验证。

不幸的是，这意味着现在我无法保持应用程序的多个实例（浏览器中的选项卡）同时打开，因为 CSRF 碎片相互碰撞。

我应该为每个实际表单创建一个单独的令牌，还是为我的所有表单使用相互共享的碎屑？ 这里有哪些常识？

Answer 1

你可以做任何一个。这取决于您想要的安全级别。

OWASP Enterprise Security API (ESAPI) 使用每个用户会话使用单个令牌的方法。假设您没有 XSS 漏洞并且会话超时相当短，这可能是一种非常有效的方法。如果您允许会话保持活动数天或数周，那么这不是一个好方法。

就我个人而言，我认为为每个表单的每个实例使用不同的标记并不困难。我使用键值对在用户会话中存储结构。每个项目的键是表单的 ID，值是包含令牌和该令牌的到期日期的另一个结构。通常我只会允许令牌存在 10-20 分钟，然后就会过期。对于较长的表格，我可能会给它较长的有效期。

如果您希望能够在同一会话的多个浏览器选项卡中支持相同的表单，那么我的方法就变得有点棘手，但仍然可以通过拥有唯一的表单 ID 轻松完成。

Answer 2

OWASP 备忘单对此类问题有最明确的答案事物。它讨论了不同的方法以及安全性与可用性的平衡。

简而言之，他们建议每个（浏览器）会话使用一个令牌。换句话说，在您的情况下，选项卡之间共享相同的令牌。备忘单还强调，不要让您的站点暴露于跨站点脚本漏洞，这一点非常重要，因为这会破坏每个会话的 CSRF 令牌策略。

Answer 3

据我所知，CSRF，您可以使用

1）随机数并将其保存到会话中：
将其添加到称为隐藏的隐藏输入中，然后当您接收信息时，您可以使用会话值检查隐藏字段

2）静态配置变量（与之前一样，但没有会话）
隐藏字段将包含该值（来自配置的变量）。验证时，您将检查隐藏的发布和配置的安全密钥值

3) HTTP Referer
您可以使用http Referrer 来了解用户来自哪里，然后使用真实域名进行检查（如果您的网站包含xss，此方法可能会受到攻击）。

据我所知，您可以使用任何解决方案:)