CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。
尝试过在每次请求前手动调用API刷新Token,但发现新Token只能通过Cookie返回,如果用JavaScript读取HTTP Only的Cookie就会报错。如果改成普通Cookie存储,又担心被XSS窃取。
现在页面结构是Vue单页应用,后端用Spring Security。有人建议在每个响应头里带上新的Token,但这样每次都要处理响应拦截,有没有更好的方式在保持Token安全的同时实现自动刷新?
- 1
回答
29浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
- 2
回答
39浏览
CSRF防护中,如何在不刷新页面的情况下安全更新CSRF Token?
在做单页应用时遇到了CSRF Token过期问题。前端用axios拦截器在请求头带上token,但用户长时间登录后,后端会返回403要求更新token。我尝试在响应拦截器里检测403错误后,通过/re...
- 2
回答
16浏览
为什么在GET请求中添加CSRF Token反而导致接口验证失败?
在开发Vue项目时,我尝试给所有请求都加上CSRF防护。但发现当用GET请求获取数据时,把Token加到查询参数里后,后端直接返回403错误。而改成POST请求后却能正常通过验证。 我的代码是这样的:...
- 2
回答
25浏览
单页应用中CSRF Token自动刷新导致表单提交失败怎么办?
我在开发Vue应用时遇到了CSRF防护问题,前端用了axios拦截器在每次请求带上CSRF token,但后端要求token每小时必须刷新。我尝试在axios的响应拦截器里检测403错误后自动调用刷新...
- 2
回答
71浏览
CSRF Token验证时,表单提交的Token和Cookie里的不一致怎么办?
我在用CSRF Token防护登录表单,后端每次响应头都带了Set-Cookie: csrfToken=xxx,前端用JavaScript读取cookie里的值,然后塞到表单的隐藏字段里: docum...
- 2
回答
79浏览
为什么我的Anti-CSRF Token在跨域请求时失效了?
我在单页应用里用JWT做Anti-CSRF防护,每次登录后把token存在cookie并带上自定义请求头。但调用支付接口时后端返回403,明明请求头里带了正确的token值。 尝试过在Express后...
- 2
回答
63浏览
React表单提交时Anti-CSRF Token没变化导致重复提交被拦截怎么办?
我在用React做文件上传功能时,按照教程实现了CSRF防护,但发现同一个页面多次提交时token没变,导致第二次提交被服务器拦截了。明明在组件挂载时生成了token,代码是这样的: class Fi...
- 1
回答
14浏览
Vue表单提交时如何同时实现CSRF防护和验证码验证?
在开发登录表单时,我需要同时处理CSRF防护和验证码验证。现在遇到的问题是:当用户刷新验证码时,CSRF令牌没有同步更新,导致表单提交时后端返回验证失败。我尝试在获取验证码接口里携带CSRF令牌,但发...
- 1
回答
75浏览
表单提交带了CSRF Token后后端还是报无效?
我在登录表单里加了隐藏字段的CSRF Token,用JavaScript从API接口获取的,但每次提交后端还是返回“Token无效”。明明前端能正常拿到Token值,表单也正确显示在hidden in...
- 1
回答
146浏览
CSRF Token在AJAX请求中失效怎么办?后端返回403错误
我在做用户资料更新功能时遇到了问题。后端要求所有POST请求必须携带CSRF Token,我按照常规做法在表单里加了隐藏字段_csrf,但用fetch提交时后端一直返回403。 尝试过把token放在...
直接说结论:别指望从HTTP Only Cookie里拿Token,根本行不通。正确做法是在每次后端返回响应的时候,通过自定义响应头把新的CSRF Token塞进去,比如叫
X-CSRF-TOKEN。这个值你在拦截器里更新到Vue的全局状态或者axios默认头就行。具体流程是这样:
后端在每次请求处理完后,不管是不是POST,都生成一个新的Token(保持有效期滚动),然后把这个Token写进响应头,同时存进服务端session或Redis做关联。原来的那个HTTP Only Cookie只用来做服务端校验,不给前端读。
前端用axios的话,写个响应拦截器,拿到这个头里的Token之后,更新到下一次请求要用的地方,比如存到内存变量,再设置到下次请求的头里。这样URL和Cookie都不暴露Token,XSS也拿不到。
有个坑我踩过:别在拦截器里异步刷新Token,会导致并发请求带着旧Token发出去,结果部分请求403。应该让第一个失败请求触发刷新,后续请求排队等新Token回来再重发。
Spring Security这边可以用一个过滤器,在
doFilter最后阶段加响应头,Token生成用CsrfTokenRepository那一套机制就行。Vue那边维护一个待刷新的Promise队列,刷新期间的新请求先挂起。这套机制上线半年了,没再出现过因为Token过期导致的批量报错。
关键点在于后端要配合:Spring Security可以配个过滤器,每次请求结束后检查有没有刷新Token的需求,有就往响应头写新的Token,同时更新Cookie里的值(设成HttpOnly)。这样就算XSS拿不到Cookie,CSRF也搞不了事,因为攻击者伪造的请求没法带上正确的请求头。
前端这块其实不难,axios.interceptors.response.use的时候判断下状态码是不是200系列,然后从res.headers['x-csrf-token']取值,保存下来就行。注意别存localStorage,直接放内存或Vuex,页面刷新再通过服务端渲染或者初始化接口拉一次就行。
我们项目就这么跑了一年多,没出过问题。唯一要注意的是第一次加载页面时得有个初始Token,可以在页面render的时候内联一个script把token注入window对象,或者用个初始化API提前拿。