CSRF的风险在于,外部站点可能会将数据发送到您的站点,而用户浏览器会自动将身份验证cookie与它一起发送。
您需要某种方式来执行接收操作(您的
$.ajax()方法正在向其发送POST数据),以便能够检查请求是否来自您站点上的另一个页面,而不是外部站点。
有两种方法可以执行此操作,但是建议的方法是在请求中添加令牌,您可以检查令牌,而黑客无法访问令牌。
最简单的说:
- 登录时,创建一个长随机字符串令牌并将其保存给用户。
- 向
$.ajax()
包含令牌的请求中添加参数。 - 根据要求检查令牌是否与您为用户保存的令牌匹配。
- 如果令牌不匹配,则说明您有CSRF破解。
黑客无法进入您的数据库,并且实际上无法读取您发送给用户的页面(除非他们受到XSS攻击,但这是另一个问题),因此无法欺骗令牌。
与令牌有关的所有事情是, 您可以预测 (并验证)令牌, 而黑客则不能 。
因此,最简单的方法是生成长而随机的内容并将其存储在数据库中,但是您可以构建加密的内容。我不仅会使用MD5用户名-
如果CSRF攻击者弄清楚了如何生成令牌,那么您将被黑客入侵。
另一种方法是将令牌存储在cookie中(而不是数据库中),因为攻击者无法读取或更改您的cookie,只是导致它们被重新发送。然后,您就是HTTP
POST数据中的令牌与cookie中的令牌匹配。
您可以使它们变得更加复杂,例如,每次成功使用(防止重新提交)时都会更改的令牌,或者特定于用户和操作的令牌,但这是基本模式。
