如何防范CSRF攻击？

Question

Closed. This question needs to be more focused. It is not currently accepting answers.

---

想要改进这个问题吗？通过编辑这篇文章来更新问题，使其仅关注一个问题。

2 年前已关闭。

社区审查了是否在 2 年前重新开放此问题，并将其关闭：

需要更多关注通过编辑这篇文章来更新问题，使其仅关注一个问题。

Answer 1

传统 CSRF 攻击的工作原理是在攻击者的站点上放置预先填充的表单并跨域提交。然后，它使用随请求自动发送的凭据，以浏览器所有者的身份为幌子发送攻击者的数据。

通过在 cookie（或会话）和表单中放入令牌并检查它们是否匹配，您可以防御这种情况。攻击者不能只是发送请求来获取 CSRF 令牌，因为：

• 如果他们让用户发出请求，那么同源策略会阻止他们读取包含令牌的响应
• 如果他们直接发出请求，那么他们就获胜了没有用户的 cookie，因此将获得不同的（不匹配的）令牌。

---

当您处理网络服务（并且您需要使该 API 跨源工作）时，情况会有所不同。这里的关键防御是设计 API，以便：

• 凭证发送到不会自动发送的地方（例如，在授权标头中），以便攻击者无法使用它们发出请求。
• 该请求的格式需要发送 CORS 预检请求（例如，使用 Content-Type: application/json 请求标头）。

……或者两者兼而有之。