我正在开发一个完全由ajax驱动的应用程序,其中所有请求都通过基本上相当于一个主控制器,在它的骨头上看起来像这样:
if(strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest') {
fetch($page);
}
这通常足以防止跨站点请求伪造吗?
当每个请求没有刷新整个页面时,拥有一个旋转令牌是相当不方便的.
我想我可以传递和更新唯一令牌作为一个全局javascript变量与每个请求 - 但不知何故感觉笨拙,似乎本质上不安全.
编辑 - 也许静态令牌,如用户的UUID,会比什么都好?
编辑#2 - 正如鲁克所指出的,这可能是一个令人头疼的问题.我已经阅读了两种方式的猜测,并听到有关旧版本的闪存可用于此类恶作剧的远程窃窃私语.由于我对此一无所知,所以我会向任何可以解释这是CSRF风险的人提供奖励.否则,我将它交给Artefacto.谢谢.
我说这就够了.如果允许跨域请求,则无论如何都会注定失败,因为攻击者可以使用Javascript来获取CSRF令牌并在伪造请求中使用它.
静态令牌不是一个好主意.每个会话至少应生成一次令牌.
EDIT2迈克毕竟不对,抱歉.我没有看到我正确链接的页面.它说:
一个简单的跨站点请求是:[...]不使用HTTP请求设置自定义标头(例如X-Modified等)
因此,如果您设置X-Requested-With,则必须预先设置请求,除非您响应OPTIONS授权跨站点请求的转机前请求,否则它将无法通过.
编辑 Mike是对的,从Firefox 3.5开始,允许跨站点XMLHttpRequests .因此,您还必须检查Origin标头是否存在,与您的网站是否匹配.
if (array_key_exists('HTTP_ORIGIN', $_SERVER)) {
if (preg_match('#^https?://myserver.com$#', $_SERVER['HTTP_ORIGIN'])
doStuff();
}
elseif (array_key_exists('HTTP_X_REQUESTED_WITH', $_SERVER) &&
(strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) == 'xmlhttprequest'))
doStuff();
京公网安备 11010802040832号 | 京ICP备19059560号-6 