我按照 Stormpath ( https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage ) 的示例,在我的 Web 服务器上构建了一个基于 JWT 的无状态用户身份验证系统。
该设置似乎对 CSRF 非常安全,但我想知道 GET 请求怎么样。
我能够通过包含 <img> 来对 GET 请求的 CSRF 攻击建模来自不同域的页面上的标记。服务器以状态为 200 的完整页面响应请求。虽然我没有更改 GET 请求的任何数据,但页面可能仍包含一些敏感信息,例如 <img src="https://example.com/account" />可能会给出用户的详细信息,或者 <img src="https://example.com/logout" />可以简单地做一些烦人的事情,我认为可以有更多的例子。
这是<img>吗?攻击被认为是无害的,因为浏览器不会透露它得到的响应?是否有任何其他滥用 HTML 标记的技巧可能会通过向 GET 请求显示服务器输出来导致敏感信息泄露?
我正在考虑将我的 JWT 访问 token 的哈希值另外包含到 GET URL 中,并让服务器要求 GET 请求包含该哈希值,并且它必须与 cookie 中的 JWT token 相匹配。通过这种方式,攻击者将无法猜测有效的 GET URL,同时泄露此类 GET URL 将不允许攻击者访问我的服务器,因为他不知道来自 cookie 的原始 JWT。除了一些小的可用性问题外,这个设置对我来说是个好主意,但我没有用谷歌搜索到任何类似的东西,所以我很怀疑 :)
最佳答案
CSRF 攻击的概念,它迫使经过身份验证的用户在他有权访问的 Web 应用程序上执行不需要的操作。
CSRF 攻击确保为无状态服务器引入状态更改,不涉及数据窃取,因为 GET 请求会获取对受害者而不是攻击者的响应,因为受害者已获得授权。攻击者无法看到对伪造请求的响应。
CSRF 攻击可以改变服务器的状态,但它看不到它们的结果,它被迫盲目行动。
比方说,CSRF 攻击可以告诉受害浏览器请求受害银行帐户余额,但攻击者看不到该余额。这显然是一次毫无意义的攻击。</p>
但如果攻击者要求受害者浏览器执行从受害者账户到攻击者账户的转账,这也不是没有意义的。攻击脚本无法访问传输的成功或失败页面。攻击者不关心成功或失败的响应,他主要关心的是他想要账户中的钱。
如果您正在执行 GET 请求来更改服务器的状态,这可能会给您带来风险。
“GET http://bank.com/transfer.do?acct=BOB&amount=100 HTTP/1.1”,如果您有这样的请求。
我相信不会。
所以你必须关注应该使用 CSRF token 监控的 POST 请求。
分享 OWASP 规则的链接 https://www.owasp.org/index.php/Top_10_2010-A5-Cross-Site_Request_Forgery_%28CSRF%29 必须去一次。
关于html - 通过 GET 请求抵御 CSRF 攻击的安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45229789/