CSRF、CORS 和我的身份验证方法

Question

我看到了很多关于 CSRF 攻击和 GET 请求的问题，我正在尝试找出我的应用程序的身份验证系统需要什么。

我的堆栈是托管在 app.site.com 上的 SPA React 应用程序和位于 api.site.com 上的 API。

我的计划是执行以下操作。

1. 加载时，React 应用程序将调用服务器上的 GET 路由来获取当前用户。
2. 该路由将检查 cookie，查找具有有效令牌的 httpOnly cookie，如果是，则发回登录令牌，该令牌将存储在应用程序内存中。
3. 然后，每个后续请求都将检查这两个令牌，以便成功。

我认为其中的一个潜在缺陷如下： 攻击者能否将受害者发送到 www.other-domain.com，这将触发一个调用脚本我的 /user 端点？这将发送 httpOnly cookie，因此错误的站点/脚本现在将取回我的应用程序内存令牌，然后理论上可以发送其他请求。我知道我可以用这个来防止 CORS，但这就足够了吗？

我读到 CSRF 是一种“只写”攻击，但在这种情况下，我可以看到这可能是 GET 请求上的问题。

那么，我的问题是：

1. 从安全角度来看，上述设置是否可行？
2. 对 httponly cookie 使用 SameSite Cookie 是否会消除对应用程序内存令牌的需要？
3. 在这个过程中有什么我遗漏的地方吗？

我做了很多研究，但很想听听更有经验的工程师的想法。预先感谢您提供的任何帮助。

Answer 1

我读到 CSRF 是一种“只写”攻击

一般来说，你是对的。 CSRF 可用于在服务器上执行 create 或 delete 操作（或任何其他副作用） - 这也可能发生在 上，具体取决于您的服务器实现GET 请求。在某些极少数情况下，CSRF 也可用于 DoS（拒绝服务），例如，当您的 API 中有非常昂贵的服务器端计算时，它可能很容易被触发，并且经常通过 CSRF 触发。

这个过程中我遗漏了什么要点吗？

您需要 CORS 才能使您的方案发挥作用（app.site.com 上的 SPA 和 api.site.com 上的 API）。如果可能的话，我会尽量避免使用 CORS，因为 1. 如果配置不当，它可能会引入安全问题，2. 当浏览器打开时，它可能会对性能产生负面影响运行预检请求，这实际上会使往返时间加倍，并且 3. 您在 SPA 和 API 之间引入了紧密耦合。

这就是 BFF（后端前端）派上用场的地方：您只需使用 app.site.com/api 从 SPA 进行 API 调用，并且您的 app.site.com code> 服务器将充当代理并将这些请求转发到 api.site.com。

现在您根本不需要 CORS，并且解耦了 SPA 和 API，因为现在您可以在 BFF 级别拦截 API 调用并转换对 API 发出的请求，还可以转换响应、聚合数据、组合多个 API请求等