在基于 AJAX 的应用程序中使用令牌防止 CSRF

Question

我正在使用令牌来防止我的应用程序中的 CSRF 攻击。但是这个应用程序是单页的，并且大量基于 AJAX，所以我需要找到一种方法来为单页中的 N 个操作提供有效的令牌：

例如一个文档片段加载了 3 个可能的操作，每个操作都需要一个令牌才能正常工作，但服务器端一次只有一个有效令牌...

由于每个令牌都只是一个encrypted nonce（该值不是基于特定形式），因此我提出了通过以下方式自动为每个操作分配令牌的想法：

1. App 拦截 AJAX 调用，并检查是否为敏感操作（即删除用户）
2. 在操作继续之前向服务器请求令牌
3. 生成令牌，然后添加到操作请求中
4. 自请求包含有效令牌后执行的操作
5. 对通过 AJAX 执行的任何后续操作执行相同操作

我认为该方法不够有效，因为攻击者可以使用与我的应用完全相同的脚本（检索令牌并附加到请求）。

如何改进我的方法以有效抵御 CSRF 攻击？

附加信息：我的后端环境是 PHP/Phalcon，令牌是 generated using Phalcon。

Answer 1

比仅对 AJAX 使用令牌更简单的方法可能是检查只能出现在来自您自己域的 AJAX 请求中的标头。

两个选项是：

• Checking the Origin Header
• Checking the X-Requested-With header

Origin 标头也可用于正常的 HTML 表单提交，您将在表单提交处理之前验证它是否包含您自己网站的 URL。

如果您决定检查 X-Requested-With 标头，则需要确保将其添加到每个 AJAX 请求客户端（默认情况下，JQuery 将执行此操作）。由于此标头不能跨域发送（未经您的服务器首先同意浏览器），检查它是否存在并设置为您自己的值（例如“XMLHttpRequest”）将验证请求不是 CSRF 攻击。

Answer 2

不久前我不得不处理类似的事情。使用 ajax 请求 nonce 是一个非常糟糕的主意——恕我直言，如果攻击者可以简单地生成它而不重新加载页面，它会使拥有它们的全部意义无效。我最终实现了以下内容：

1. Nonce 模块（操作的大脑），用于处理 nonce 的创建、销毁、验证和层次结构（例如，具有多个输入的一页的子 nonce）。
2. 每当呈现表单/特定输入时，都会生成随机数并将其存储在具有过期时间戳的会话中。
3. 当用户完成操作/表单/页面时，具有其层次结构的随机数被破坏。如果操作是重复的，请求可能会返回一个新的随机数。
4. 在生成新的随机数时，会检查旧的随机数并删除过期的随机数。

它的主要问题是决定 nonce 何时到期并清理它们，因为它们就像类固醇上的细菌一样生长。您不希望用户提交打开了一个小时的表单并因为 nonce 已过期/删除而被卡住。在这些情况下，您可以使用重新生成的随机数返回“超时，请重试”消息，因此根据以下请求，一切都会通过。

如前所述，没有什么是 100% 防弹的，而且在大多数情况下是矫枉过正。我认为这种方法在偏执和不浪费几天时间之间取得了很好的平衡。对我有很大帮助吗？与显着提高安全性相比，它对它的偏执做得更多。

从逻辑上思考，在这些情况下您能做的最好的事情就是分析请求背后的行为，并在它们可疑时将其暂停。例如，来自一个 ip 的每分钟 20 个请求，跟踪鼠标/键盘，确保它们在请求之间处于活动状态。换句话说，确保请求不是自动化的，而不是确保它们带有有效的随机数。