防止CSRF？

Question

我已经从这里看到了一些问题（stackoverflow）和这个< /a> 帖子，但我仍然有一些问题...

1. 在帖子表单中使用隐藏值，并在帖子到达服务器时检查它。

   • 隐藏值可以很容易地被复制并发送，就像真实的值一样，“难以猜测”（如 md5）将无济于事。 （对吗？）

2. 当您到达表单时设置 cookie 并将 cookie 值作为隐藏值发送。

   • 您可以轻松更改 Cookie 值，或使用相同的真实隐藏值发送与真实 Cookie 完全相同的自定义 Cookie。 （对吗？）

3. 使用“超时”，POST 值不会达到太晚。

   • 因此，如果您的速度很慢，那么当您尝试使用隐藏值设置所有内容时就会失败。如果你动作快的话，一定会成功的。 （对吗？）

我想受到有关 CSRF 的保护...但我到底该怎么做呢？

Answer 1

我发现防止 CSRF 问题的最简单方法是：

1. 在服务器端，分配一个 HttpOnly cookie 到带有随机（不可猜测的）令牌的客户端

2. 放置具有该 cookie 值的表单上的隐藏字段

3. 提交表单时，确保隐藏字段值等于 cookie 值（在服务器端） things)

Answer 2

如果您进行以下更改，那么我认为您是安全的，

• 不应通过 GET（或更好的 POST）允许数据更新（因为两者都可以通过 HTML 表单使用）
• 在您的服务器上禁用 CORS（或至少在端点上）是关键和/或对数据进行更改）
• 允许仅 JSON API（即至少在关键端点上仅接受通过 JSON 的输入）

只是添加到上面：不要使用方法覆盖并且不支持旧浏览器。