我已经了解了CSRF以及如何使用“不可预测同步令牌模式”来防止它。但我并不太明白它的工作原理。
让我们看一个场景:
一个用户通过以下表单登录到网站:
<form action="changePassword" method="POST">
<input type="text" name="password"><br>
<input type="hidden" name="token" value='asdjkldssdk22332nkadjf' >
</form>
服务器还会将令牌存储在会话中。当发送请求时,它会将表单数据中的令牌与会话中的令牌进行比较。
那么当黑客可以编写JavaScript代码来执行以下操作时,这样做如何防止CSRF攻击:
我有遗漏什么吗?
var xhr = new XMLHttpRequest();
xhr.open("GET", "http://google.com");
xhr.addEventListener('load', function (ev) {
console.log(this.responseText);
});
xhr.send();JS控制台报告:
XMLHttpRequest无法加载
http://google.com/。请求的资源缺少'Access-Control-Allow-Origin'标头。
需要认识到的是,CSRF攻击只会发生在浏览器中。恶意服务器利用用户与目标服务器的会话来伪造请求。那么#1是如何发生的呢?有两种选择:你可以从恶意服务器发出#1请求,但这只会返回服务器会话的CSRF令牌,或者你可以使用AJAX发出#1请求,正如你正确地指出的那样,这将返回受害用户的CSRF令牌。
浏览器已经为此实现了HTTP访问控制。您必须使用Access-Control-Allow-Origin头来限制哪些域可以向您的服务器发出AJAX请求。换句话说,您的服务器将确保浏览器不会让恶意站点执行#1。不幸的是,我阅读过的文件对此并不是很清楚,但我认为这是因为服务器默认情况下不发送Access-Control-Allow-Origin头,除非配置为这样做。如果您确实需要允许AJAX请求,则必须信任头中的任何来源不执行CSRF攻击,您可以选择锁定应用程序的敏感部分以不允许AJAX请求,或使用其他Access-Control-*头来保护自己。
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
你应该了解一下跨源资源共享(CORS)。Access-Control-Allow-Origin并不能防止CSRF攻击,它只是打开了同源策略所施加的限制。同源策略并不能阻止对您域名的请求,它只是阻止响应被读取。虽然同源策略可以防止同步令牌被读取,但它本身对于防止CSRF攻击是无用的。 - SilverlightFoxAccess-Control-Allow-Origin 标头。不使用 Access-Control-Allow-Origin 标头是默认安全的,它可以保证数据的安全性。只有在您希望第三方网站能够读取您的数据时才需要使用 Access-Control-Allow-Origin。 - Quentin