在使用无状态（= 无会话）身份验证时，CSRF令牌是否必要？

我找到了一些关于CSRF以及不使用cookies进行身份验证的信息:

1. https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/
   “由于您不依赖于cookies，您无需保护跨站点请求”

2. http://angular-tips.com/blog/2014/05/json-web-tokens-introduction/
   “如果我们按照cookie的方式进行，您确实需要执行CSRF来避免跨站点请求。这是在使用JWT时可以忽略的内容。”
   （JWT = Json Web Token，一种基于令牌的认证方法适用于无状态应用程序）

3. http://www.jamesward.com/2013/05/13/securing-single-page-apps-and-rest-services
   “不冒险使用cookies来标识用户是避免CSRF漏洞的最简单方法。”

4. http://sitr.us/2011/08/26/cookies-are-bad-for-you.html
   “CSRF的最大问题在于，cookie绝对不能防御此类攻击。如果您使用cookie身份验证，您还必须采取其他措施来保护自己免受CSRF攻击。您可以采取的最基本预防措施是确保您的应用程序永远不会对GET请求做出任何副作用。”

有很多页面声称，如果您不使用cookie进行身份验证，则不需要任何CSRF保护。当然，您仍然可以在其他方面使用cookie，但是避免在其中存储任何类似session_id的内容。

如果您需要记住用户，有两个选项：

1. localStorage：浏览器内置的键值存储库。存储的数据将在用户关闭浏览器窗口后仍可用。该数据对其他网站不可访问，因为每个站点都有自己的存储。

2. sessionStorage：也是浏览器内数据存储。区别在于：当用户关闭浏览器窗口时，数据将被删除。但如果您的Web应用程序由多个页面组成，则仍然有用。因此，您可以执行以下操作：

• 用户登录，然后您将令牌存储在sessionStorage中
• 用户单击链接，加载新页面（= 真实链接，而非JavaScript内容替换）
• 您仍然可以从sessionStorage中访问令牌
• 要注销，您可以手动从sessionStorage中删除令牌，或者等待用户关闭浏览器窗口，这将清除所有存储的数据。

（有关两者，请参见此处：http://www.w3schools.com/html/html5_webstorage.asp）

是否有任何官方标准用于令牌认证？

JWT（Json Web Token）：我认为它仍然是一份草案，但已被许多人使用，概念看起来简单而安全。（IETF：https://datatracker.ietf.org/doc/html/draft-ietf-oauth-json-web-token-25）

TL;DR：

如果没有使用Cookies，JWT可以替代需要CSRF令牌的功能。但是，如果在session/localStorage中存储JWT，则会暴露您的JWT和用户身份，如果您的站点存在XSS漏洞（相当普遍）。更好的做法是在JWT中添加csrfToken键，并将JWT存储在具有secure和http-only属性设置的Cookie中。

阅读此文章以获取更多信息： https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage

您可以通过包括xsrfToken JWT声明使此CSRF保护无状态：

{ "iss": "http://galaxies.com", "exp": 1300819380, "scopes": ["explorer", "solar-harvester", "seller"], "sub": "tom@andromeda.com", "xsrfToken": "d9b9714c-7ac0-42e0-8696-2dae95dbc33e" }

因此，您需要将csrfToken存储在localStorage/sessionStorage中，并在JWT本身中存储它（该JWT存储在一个具有http-only和secure属性设置的cookie中）。然后，为了进行csrf保护，请验证JWT中的csrf token是否与提交的csrf-token头匹配。