我刚刚了解了 CSRF 预防的细节。在我们的应用程序中,所有“写入”请求都是使用 XHR 完成的。整个页面实际上并没有提交任何一个表单,一切都是通过 XHR 完成的。
对于这种情况,维基百科建议 Cookie-to-Header Token .在那里,一些随机值在登录期间(或在其他某个时间点)存储在 cookie 中。当发出 XHR 请求时,此值随后被复制到自定义 http header (例如“X-csrf-token =”),然后由服务器检查。
现在我想知道,在这种情况下是否真的需要随机值。我认为只设置一个自定义 header 就足够了,比如“X-anti-csrf=true”。似乎比拖动随机值稳定得多。但这会带来任何安全问题吗?
最佳答案
这取决于您想做出多少有风险的假设。
- 您已经正确配置了 CORS header ,
- 并且用户的浏览器尊重他们,
- 因此恶意站点无法向您的域发送 XHR,
- 这是随请求发送自定义 header 的唯一方法
如果您相信所有这些,那么固定的自定义 header 肯定会起作用。 如果您删除任何假设,那么您的方法就会失败。
如果您使 header 无法猜测,则无需做出这些假设。您仍然依赖于该 header 的值不能被第三方拦截和复制的假设(为此有 TLS)。
关于javascript - XHR 请求的 CSRF 预防,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29249680/