仅 ajax 需要 CSRF

Question

我最近一直在研究一种通过使用令牌来阻止 CSRF 攻击的方法。据我了解：

1) 用户登录，设置会话cookie登录并生成CSRF令牌并保存到会话中

2) 用户提交表单（带有令牌）并且它应该与会话中的令牌匹配

假设我有 page1.php，它有一个 sql SELECT 来获取所有用户的帐户信息，然后在同一页面中，我还有一个指向 page2.php 的 ajax 按钮，它可以更改帐户信息。显然我保护 page2.php 免受 CSRF 的影响（因为这是一个发布请求）但是我如何保护 page1.php？如果这个页面是通过 ajax 从远程源调用或在攻击者网站上放置一个 iframe，这肯定会打印所有受害者的帐户信息吗？

如果是这种情况，为什么我似乎找不到任何关于保护所有页面免受 CSRF 攻击的信息，而我只找到用于在 ajax 中防止 CSRF 攻击的资源？

Answer 1

假设页面上有一个 sql select 并且没有 请求发布。现在，如果要从远程源调用此页面 通过 ajax 或在他们的网站上放置 iframe，这肯定会打印出来 所有受害者的数据？

确保所有分发“机密”信息的请求（作为网页或作为 ajax 调用的数据（或将来的任何内容）确实验证存在有效的会话活动。如果不是，请确保服务器端部分不分发任何机密信息，而是抛出一个错误，并确保您的 ajax 客户端理解它并为普通用户做正确的事情（比如告诉他们他们没有登录并让他们解决这个问题）。

如果是这样的话，我怎么好像找不到任何东西 保护所有页面免受 CSRF 攻击，我只找到资源 在 ajax 中防止 CSRF 攻击？

对于常规的 post 请求，表单通常会输出一个隐藏的输入字段，该字段包含 CSRF 令牌。就是这样。

但请确保处理请求的代码验证隐藏字段是否存在并填写正确的值。

还要确保任何修改内容的请求都受到 CSRF 保护。例如。非 ajax 上下文中的删除按钮应通过发送和验证 CSRF 令牌来保护（因此该按钮最终会成为一个带有 CSRF 隐藏字段的表单。

Answer 2

假设您在http://application.com/mypage 有一个页面，其中包含一些数据和生成的 CSRF 令牌。攻击者创建http://attacker.com/attack，当application.com 的有效用户访问时，向application.com 发出请求（通过ajax 或iframe，没关系）以获取应用程序数据。标准 csrf。

这对攻击者不起作用的原因是同源策略。当受害者用户在attacker.com 上时，对application.com 的请求将是跨域的。如果它是 iframe，将显示数据，但攻击者.com 将无权访问它，它只会显示给可以查看 application.com 的用户。如果是 ajax 调用，同样适用，attacker.com 上的 javascript 将无法访问响应，由浏览器确保。

对于 ajax 调用，可以通过 application.com 在响应中发送的 access-control-allow-origin 和相关响应标头 (CORS) 显式启用对跨域响应的访问。

请注意，尽管是跨域的，但仍会进行调用（在某些情况下，预检请求会发挥作用，但我们现在不讨论）。只有响应是攻击者无法访问的，这足以阻止 csrf。

（另外作为旁注，application.com 应防止显示在 iframe 中，例如发送 x-frame-options: sameorigin 标头以防止点击劫持和类似攻击，但这不是问题。）

Answer 3

我不确定我是否明白这一点，但 CSRF 的令牌应该是一个随机数，每次调用都会改变。

关于来自其他地方的呼叫，ajax 请求还应检查呼叫是否来自具有正确权利的有效用户，就像对站点的任何“常规”呼叫一样。

如果是这样的话，我怎么好像找不到任何东西 保护所有页面免受 CSRF 攻击，我只找到资源 在 ajax 中防止 CSRF 攻击？

您通常做的是在“常规”页面中使用的表单的隐藏输入中设置一个随机数。