我刚看过CSRF上的Doctype's一集。
在其中他们说CSRF的最佳预防措施是从某些用户唯一数据(例如哈希会话ID)创建令牌,然后将POST与您的请求一起发布。
生成难以猜测的值(例如GUID)并将其存储为会话变量并将其作为隐藏字段放入页面会不安全吗?
每次加载页面时,值都会改变,但POSTed数据的测试将在此之前进行。
在我看来,这同样安全。我错了吗?
答案 0 :(得分:5)
令牌来自哪里可能不那么有趣,只要它不能以任何方式猜测或确定。但请注意在每个请求上生成新令牌,因为这意味着您的网站不适用于向您的网站打开两个或更多浏览器标签的用户。通过在用户会话期间坚持一个令牌值,您可以避免此问题。
每个请求更改令牌可以说更安全。但是惩罚可能被认为太高了。就安全性而言几乎就像任何事情一样,你经常发现你必须在用户体验的简易性上进行权衡 - 找一个喜欢CAPTCHA的用户!为您的应用程序和用户找到合适的平衡对您的安全性和可用性都很重要。
在Open Web Application Security Project
上有一些关于CSRF(以及更多)的好读物另请注意,如果您在受保护令牌的网页上只有一个跨站点脚本漏洞,那么您的CSRF令牌现在无用了。另请参阅OWASP XSS (Cross Site Scripting) Prevention Cheat Sheet。