实际项目中,大家还做 csrf 的防御吗?

2020-03-18 08:33:32 +08:00
 miniyao
1. csrf 攻击要求仿站能拿到用户 cookie 或者 token,这两个在浏览器不同源的策略下,很难获取吧?

2. 仿站还要能在页面上骗过用户,制造伪链点击。现在前端都是 ajax,还需要仿请求头吧?
3330 次点击
所在节点    问与答
12 条回复
loading
2020-03-18 08:37:43 +08:00
是什么理由让你不做?在以前你说的这两个难道就做不出来?
m939594960
2020-03-18 09:06:00 +08:00
1.你理解错了,仿站能拿到 cookie 还要玩 csrf ???
2.模仿请求头很难么?
3.这么多网站都做 csrf 他们的程序员闲的没事干??
lululau
2020-03-18 09:09:00 +08:00
Talk is cheap, show me your code: 你浏览器里模仿个请求头试试,不受同源策略限制的那种。。。
lululau
2020-03-18 09:10:40 +08:00
Auth Token 设置在 header 里的却是不需要做 CSRF 防御
lhx2008
2020-03-18 09:13:22 +08:00
做好幂等性保护,这个不只是针对 CSRF
tlday
2020-03-18 09:19:04 +08:00
https://owasp.org/www-community/attacks/csrf

并不需要确切的拿到 cookie,当你发送请求的时候 cookie 是会被自动带上的,无论源站是哪个。你可以试一下直接在这个帖子里打开开发者工具,console 里输入

$.ajax({method: 'get', xhrFields: {withCredentials: true}, crossDomain: true, url: 'https://www.baidu.com', success: console.log})

然后到 network 标签页下去看你发出到百度的请求带不带 cookie。假如你用的是 Chrome 80,它会提示你未来 Chrome 只会将标记为`SameSite=None` 和 `Secure`的 cookie 附加到跨站请求上。这一方面是避免你的 cookie 在 http 请求中被中间拦截泄漏,一方面通过给 Cookie 添加新的属性 SameSite 来在客户端限制 CSRF 攻击。考虑到未来相当长一段时间内,用户都不可能全部迁移到支持这个属性的浏览器( Chrome 80 也还只是提示开发者)。你服务端在未来相当长的时间里也还是需要做 CSRF 防御的。

https://web.dev/samesite-cookies-explained/
https://tools.ietf.org/html/draft-ietf-httpbis-rfc6265bis-03#section-4.1.2
liuxey
2020-03-18 09:21:59 +08:00
1 和 2 都有根本性的理解错误,楼主 HTTP 协议和 web 基础都不行啊
340244120w
2020-03-18 09:34:00 +08:00
楼主补补基础啊 不过 cookie 倒是有个 samesite 的属性,chrome 最近几个月才开始支持
shiran3f
2020-03-18 09:35:28 +08:00
1. cookie 和 token 不就是防止 csrf 攻击的一部分吗?
2. csrf 不在乎你怎么发起请求,http 是超文本传输协议,其本质就是文本,伪造文本是很简单的。
现在 BS 主流框架都自带 csrf 防护了吧,基本不用自己操很多心了。另外所有的安全措施都是提高攻击门槛,而不是一劳永逸保护。这种基本不影响用户体验的防护措施是很可贵的。
顺便现在 SSRF 也越来越多了。
bhaltair
2020-03-18 11:12:07 +08:00
@340244120w Chrome 计划将 samesite 的 Lax 值变为默认设置,意味着 post 表单、ajax、iframe 这些都不会携带 cookie,相比于 strict 温和了很多
virusdefender
2020-03-18 11:14:18 +08:00
你对 csrf 的理解不太对,不过 samesite 普及了之后,csrf 可玩性就会低很多
OlafCheng
2020-09-22 20:08:50 +08:00
你说的这两点,只要你能搞一个钓鱼网站让用户去点,这一切就都很简单。

但是,现在许多浏览器支持了 samesite 属性,导致 cookies 更安全了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/653741

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX