我有一些 PHP POST 脚本需要保护它们免受 CSRF 攻击并且有多个问题:
1) 如果我在没有 HTML 表单的情况下使用 jquery 向 PHP 提交 POST 请求,只是直接从 HTML 元素中获取值并使用 jquery 提交,我是否仍然面临 CSRF 的风险?
2) 当用户登录网站时,我将他们的唯一令牌存储在会话变量中。在 PHP POST 脚本中,我检查该会话变量是否已设置并且与我之前设置的值相同。这还不够吗?为什么令牌也需要包含在 HTML 表单中?
谢谢
【问题讨论】:
令牌的目的是检查包含负责决定请求中的内容(即表单或 JavaScript)的代码的页面是否是您网站上的页面。
如果表单(或 JavaScript)可以从页面的 HTML 中读取令牌(与会话中的令牌匹配)并将其放入请求中,那么您就知道构建请求的代码来自您的站点。
如果您只是检查它是否在会话中,那么您所检查的只是用户已经生成了一个令牌(这通常意味着访问您网站上的任何页面......可能在一个隐藏的框架中) .
【讨论】:
是的,它仍然不安全
每次生成表单时,CSRF 令牌都应该是新生成的令牌。对于每个请求,它必须是唯一且不可预测的。从登录设置的会话令牌仅对于整个记录的会话是唯一的。
如果你不发布生成的令牌来检查,你在哪里检查呢?您将会话令牌与...匹配?原因是,如果令牌不是随请求本身发送的,但所有检查都由会话/cookies 完成,您仍然可以让人们进行请求伪造。如果您只检查会话,它不会对 csrf 执行任何操作。它需要在请求本身中发送并检查它是否与您的会话匹配。当您为每个请求生成一个唯一令牌时,坏人就无法伪造某人的请求。
【讨论】: