Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with same-site=inherited path=/”错误,这是为什么呢?
我的代码是这样的:
<script>
document.cookie = CSRF-TOKEN=${response.csrfToken}; Path=/; HttpOnly; Secure; // 这里是不是哪里写错了?
fetch('/api/data', {
method: 'POST',
headers: {
'X-CSRF-Token': response.csrfToken // 这样传递对吗?
}
});
</script>后端是Node.js,设置了CORS允许特定域名,但跨域请求时Cookie没自动带上,手动加到header反而被拦截了。是不是SameSite属性没配对?或者双重提交和CORS有冲突?
- 1
回答
41浏览
为什么我的Double Submit Cookie防CSRF方案在登录接口失效?
我在用Double Submit Cookie防CSRF时遇到奇怪的问题:其他接口都正常,但登录接口总提示"CSRF Token mismatch"。我检查了cookie设置和请求头,代码看起来没问题...
- 2
回答
32浏览
Double Submit Cookie设置后服务端无法验证,哪里出问题了?
我在用Double Submit Cookie防护CSRF时遇到问题,设置了cookie和请求头,但服务端一直提示验证失败。前端代码是这样的: document.cookie = `csrftoken...
- 2
回答
22浏览
Double Submit Cookie的token怎么传到请求头里?
我按照文档做了Double Submit Cookie防护,但测试时发现后端收不到CSRF-TOKEN的请求头,只能拿到cookie里的值。这是为什么啊? 我的登录表单这样写的: document.c...
- 1
回答
11浏览
Double Submit Cookie的token怎么同时放在cookie和请求头里?
我在用Vue和Express实现Double Submit Cookie防护,但一直报错。后端设置的cookie是Secure和HttpOnly的,前端用document.cookie拿不到值。尝试在...
- 2
回答
18浏览
怎样正确实现双提交Cookie来防御CS
最近在学习用Double Submit Cookie方法来增强网站的安全性,防止CSRF攻击。但是,在实际操作过程中遇到了些问题。我的做法是在用户登录时生成一个随机token存储于cookie中,并且...
- 2
回答
70浏览
CSRF Token验证时,表单提交的Token和Cookie里的不一致怎么办?
我在用CSRF Token防护登录表单,后端每次响应头都带了Set-Cookie: csrfToken=xxx,前端用JavaScript读取cookie里的值,然后塞到表单的隐藏字段里: docum...
- 2
回答
67浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
- 1
回答
59浏览
React表单二次确认弹窗如何有效防止CSRF攻击?
在做用户删除功能时加了二次确认弹窗,但同事说这不能防止CSRF攻击。我用React写了个带确认对话框的组件,代码类似这样: function DeleteButton() { const handle...
- 1
回答
12浏览
React表单提交如何防止CSRF攻击?隐藏字段没生效?
在React项目里做订单取消功能,用隐藏字段传CSRF令牌,但提交时后端返回403错误。代码是这样写的: function CancelOrderForm() { const [csrfToken, ...
- 1
回答
28浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
首先,
document.cookie这行代码不能这么写。HttpOnly的Cookie是禁止前端JS读写的,你现在既要前端拿到Token,又要设HttpOnly,这本身就矛盾了。双重提交的核心是:Token必须能被前端获取并放到请求头里,所以这个Cookie绝对不能加HttpOnly。你应该这样设Cookie:
注意三点:1)去掉HttpOnly;2)跨域要带Cookie必须配
SameSite=None;3)必须同时有Secure,否则浏览器会拒绝。然后前端才能通过
document.cookie读到它。不过更推荐的方式是在页面初始化时直接把Token内联到HTML里,比如服务端渲染个window.CSRF_TOKEN = "xxx",避免解析cookie字符串。另外CORS这块,fetch默认不会带凭证,你要加上
credentials: 'include':后端CORS中间件也要确认开了
credentials: true,允许Origin精确匹配,不能用*。最后提醒一点,双重提交的前提是你的站点没有XSS漏洞,否则Token就直接被偷了。如果存在富文本之类的功能,建议配合Samesite=Lax或者用同步Token模式更安全。
document.cookie来写入Token,这种方式在跨域情况下基本没用,而且属性写法还有问题——属性值需要用引号包裹,并且SameSite没设置。你现在的写法会导致Cookie根本无法正确保存。另外,你后端设置CORS的时候,必须开启
credentials支持,否则浏览器不会自动带上Cookie。前端fetch请求时也要加上credentials: 'include',否则跨域请求也不会带Cookie。再看你的双重提交实现方式:前端在请求头里加
X-CSRF-Token是对的,但前提是后端确实验证了这个Header的值。不过当你用fetch的时候,如果跨域,而且Cookie又没正确带上,就会出现Token不一致的问题。下面是几个关键修复点:
1. **不要用
document.cookie手动写入Token**,应该由后端通过真实的Set-Cookie头来设置,比如:2. **前端 fetch 请求加上
credentials选项**:3. **后端CORS配置要允许凭据**(Node.js Express 示例):
4. **确保后端接口的
SameSite策略允许跨域携带Cookie**:- 如果你是前后端不同域名,那
SameSite=Strict是不行的,只能设为Lax或者显式用SameSite=None并配合Secure属性。总结一下:你现在的问题核心是Cookie没正确设置 + 跨域凭据没启用。先按上面几个点调整,应该就能解决跨域下Token带不过去的问题。Double Submit本身和CORS不冲突,只是需要正确配置Cookie策略和CORS凭据支持。