首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  程序员

为什么 CSRF token 需要让 token 是个服务端生成的随机数?

  •  
  •   pofeng · 160 天前 · 1765 次点击
    这是一个创建于 160 天前的主题,其中的信息可能已经有所发展或是发生改变。

    按照我对 CSRF 攻击的理解,只要我在自己的 Ajax 请求的 HTTP Header 中添加一个自定义字段,然后服务器检验这个字段是否存在就可以识别是否是合法的请求。

    这样,跨站的 Ajax 由于跨域限制无法请求,伪造的 POST 请求由浏览器生成,不会有自定义的 Header 字段。似乎就足以阻止 CSRF,还有什么攻击方式吗?当前这里讨论的前提是全站 HTTPS,没有 XSS。

    14 回复  |  直到 2019-07-03 09:19:00 +08:00
        1
    justs0o   160 天前
    HTTP Header 中添加一个自定义字段和一般验证 refer 来源没啥区别,都是可以伪造的

    最优的还是 token 或者 session 来判断当前用户身份和敏感操作需要验证码
        2
    murmur   160 天前
    这个 token 是用一次就失效的,当然要够随机
    以前在各种漏洞多的时候是防 CSRF 的
    现在还多了防机器人和爬虫的功能
        3
    AngryPanda   160 天前 via Android
    @murmur 这个 token 并不是用过一次就失效的。
        4
    bluehr   160 天前
    @AngryPanda csrf 的 token 不都是用一次就失效了吗,服务端只要校验过这个值,这个值就被置为失效
        5
    AngryPanda   160 天前 via Android
    当然不是。这个 token 在一次会话内可以重复使用。
        6
    murmur   160 天前
    @AngryPanda 跟恶心程度有关,正常来说不会被恶意猜出来伪造提交就算达到需求,但是现在多了防爬虫的功能
        7
    AngryPanda   160 天前 via Android
    @murmur 不理解。
        8
    mcfog   160 天前   ♥ 1
    https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.md#use-of-custom-request-headers

    TLDR:这个做法有很多优势,但已知挡不住 Flash,也容易被其他类似的技术绕过,不建议作为主要防御手段
        9
    falcon05   160 天前 via iPhone
    我觉得可以
        10
    pofeng   160 天前
    @justs0o 在 HTTPS 的情况下,伪造者怎么拿到用户 cookie 中的 session 信息去伪造请求,并且请求中还带上自定义的 Header ?
        11
    pofeng   160 天前
    @mcfog 原来如此,感觉浏览器给 Flash 开了后门
        12
    Levi233   160 天前
    flash 也不能随便随便跨域啊,得看 crossdomain.xml 的,而且现在 2019 年还有哪几个浏览器支持 flash。。。楼主不用在意这个问题
        13
    seeker   160 天前
    token 不能被猜到。一种方式就是服务端生成,如果你有其他方式也行。
        14
    justs0o   160 天前
    @pofeng CSRF 攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3443 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 04:44 · PVG 12:44 · LAX 20:44 · JFK 23:44
    ♥ Do have faith in what you're doing.