有几种技术,当一起使用时,可以提供足够的CSRF保护。
唯一令牌
对于大多数应用程序而言,单个特定于会话的令牌就足够了。只需确保您的站点没有任何XSS漏洞,否则您采用的任何令牌技术都是一种浪费。
AJAX调用以重新生成令牌是一个坏主意。谁来守护警卫?如果AJAX调用本身容易受到CSRF的攻击,则可能无法达到目的。使用AJAX的多个令牌通常是个坏主意。它迫使您序列化您的请求,即一次仅允许一个AJAX请求。如果您愿意承受这种限制,则可以响应第二个AJAX调用的第一个请求,背负令牌。
就个人而言,我认为最好对用户进行关键交易进行身份验证,并使用会话特定的令牌保护其余交易。
自定义HTTP标头
您可以将自定义HTTP标头添加到每个请求中,然后在服务器端检查其是否存在。实际的键/值不需要保密,服务器只需要确保其存在于传入请求中即可。
这种方法足以在较新版本的浏览器中保护CSRF,但是如果您的用户使用的Flash Player版本较旧,则可能也可以解决此问题。
检查推荐人
检查Referrer标头也可以保护较新的浏览器中的CSRF。尽管在较早版本的Flash中有可能欺骗该标头,但是这是不可能的。因此,尽管它不是万无一失的,但它仍然可以提供一些保护。
解决验证码
强迫用户解决验证码对CSRF也有效。它给地狱带来了不便,但是非常有效。即使您具有XSS漏洞,这也可能是唯一有效的CSRF保护。
摘要
- 使用基于会话的令牌,但对高价值交易重新进行身份验证
- 添加自定义的HTTP标头,并检查引荐来源网址。两者都不是万无一失的,但不要伤害
