我是安全方面的新手,所以我想与您核实一下我的实施是否良好。假设我想实现一个针对 CSRF 攻击的安全流程。作为后端服务,我在客户端使用 .net core 和 Angular。流程如下:
- 后端服务器生成 csrf 令牌并将其保存到 cookie 中;
- 当客户端应用程序执行需要在服务器端修改数据的 HTTP 操作时,例如 (PUT/POST/DELETE),我从 cookie 会话中读取 csrf 令牌并将其附加到请求的 Headers 部分并发送抛出后端;
- 后端接收请求,提取包含 csrf 令牌的 Header,并将该令牌与 cookie 会话中存储的令牌进行比较。如果匹配,则请求有效,如果不匹配,则使用状态代码 401 阻止请求。
我认为需要提及的重要事项是:我使用 HTTPS 协议,并且对于 cookie,属性 SameSite=Strict、Secure=true。
提前致谢。