高度缓存环境中 Ajax 中的安全令牌传递

Question

问候 SO 社区！

我正在尝试思考高度缓存环境中 ajax 进程的安全问题，并且可以使用一些建议。我的情况是这样的：

• 网站的用户没有登录。
• 网站页面被高度缓存（通过 akamai）。
• 我有一个服务 API，可以通过 AJAX 从我域内的页面进行访问。
• 我需要保护该 API 不被在我的域之外使用。

我可以检查标头中传入的“主机”，以查看 ajax 请求是否来自我的域，但这似乎不安全，因为此类标头可能会被欺骗。另外，在我看来，通常的令牌传递方案对我不起作用，因为我的页面被缓存，所以我没有机会注入用户/请求特有的令牌（例如，如下所述：如何限制访问仅某些 PHP 页面从我网站内的页面？）。显然，在页面加载后通过 ajax 发出令牌请求是不安全的，所以我不确定如何实现这一点。我想我可以生成一个与页面一起加载的共享使用令牌，其生命周期是最大页面缓存生命周期的两倍，但似乎必须有更好的方法！

Answer 1

你想实现什么目标？您是否试图防止跨站点请求伪造或某人\某物使用您的 API（不是您向用户提供的 javascript）？

前者是通过存储在页面源中的令牌来完成的。您可以通过在源代码（或创建令牌的某些代码）中添加令牌来使 XSRF 攻击变得困难。不幸的是，除非您可以将每个用户/请求的唯一数据获取到源中，否则有人总是可以获取您的源并对令牌进行逆向工程。然后他们就可以伪造请求。一般规则是除非用户已登录，否则不要担心它，因为攻击者可以自己访问该页面。

无论如何，后者（防止未经授权的使用）是不可能的。攻击者始终可以创建一个帐户，剥离她需要的令牌/密钥/凭证，然后在其服务器上使用某些 API。