Session绑定CSRF防护真的有效吗?我这样写对不对?
我在用 Express + EJS 做一个简单的表单提交功能,听说把 CSRF token 和 Session 绑定能防攻击,但我照着文档写了还是有点懵——后端生成的 token 存到 session 里,前端再塞进 hidden input,这样就安全了吗?
我试了下面这段代码,但不确定是不是漏了什么关键步骤,比如 token 校验逻辑或者随机性够不够……
<form method="POST" action="/submit">
<input type="hidden" name="_csrf" value="<%= session.csrfToken %>" />
<input type="text" name="title" />
<button type="submit">提交</button>
</form>后端我是用 csurf 中间件生成 token 并挂到 session 上的,但总觉得这样直接从 session 读出来放页面上,会不会被别人伪造请求时照样带上?求指点!
- 1
回答
52浏览
前端做CSRF防护时,Session绑定到底该怎么配合样式写?
我最近在给登录表单加CSRF防护,后端说要用Session绑定token,但我搞不清前端怎么配合。我试过把token塞进hidden input,但样式这块有点懵——比如下面这段CSS是不是会影响表单...
- 2
回答
29浏览
前端如何配合后端实现 CSRF 的 Session 绑定验证?
我最近在做登录功能,后端说要用 Session 绑定的方式来防 CSRF,但我搞不太明白前端要怎么配合。是不是每次请求都要带一个 token? 我看后端在登录成功后往 Session 里存了个 csr...
- 2
回答
68浏览
Session绑定CSRF Token后前端怎么正确发送?
我后端用Session存了CSRF Token,登录后返回给前端,但我每次提交表单时还是被拦截。是不是我发请求的方式不对? 我试过把token放在header里,也试过放在body里,但都失败了。后端...
- 2
回答
65浏览
Session绑定后怎么还是被CSRF攻击了?我的实现有问题吗?
我在做用户登录时把sessionID存到cookie里,并在服务端把session和用户ID做了绑定。但测试时发现,攻击页面通过已登录的浏览器发起请求,服务端居然能拿到正确的用户信息。我试过设置coo...
- 2
回答
90浏览
验证码能防 CSRF 吗?我这样用对不对?
最近在给登录接口加 CSRF 防护,听说加验证码可以防,但我试了下感觉不太对劲。前端提交表单时带上了用户输入的验证码,后端也校验了,但好像还是可能被 CSRF 攻击?是不是我理解错了? 我现在是这么做...
- 2
回答
86浏览
CSRF防护中,为什么我的前端生成的Token无法被后端正确验证?
我按照教程给表单请求加了CSRF防护,前端用UUID生成token存到cookie和隐藏字段里,但后端验证时总提示不匹配。明明都按文档做了,但验证还是失败,哪里出问题了? 前端代码这样写的: // 生...
- 2
回答
136浏览
CSRF防护中,如何安全地刷新验证Token而不暴露在URL中?
最近在做CSRF防护时遇到个难题,我用了隐藏字段+请求头双验证的方案。但用户长时间在线后,原来的Token过期导致部分AJAX请求开始报403错误。 尝试过在每次请求前手动调用API刷新Token,但...
- 2
回答
60浏览
Vue表单提交时如何同时实现CSRF防护和验证码验证?
在开发登录表单时,我需要同时处理CSRF防护和验证码验证。现在遇到的问题是:当用户刷新验证码时,CSRF令牌没有同步更新,导致表单提交时后端返回验证失败。我尝试在获取验证码接口里携带CSRF令牌,但发...
- 2
回答
81浏览
Origin头检查CSRF防护时,跨域请求被拦截怎么办?
我在给表单提交接口加CSRF防护时,后端要求比对Origin头。但发现当用户从https://myapp.com跳转到支付页面时,跨域预检请求被拦截了。 代码是这样的: // 后端中间件逻辑(伪代码)...
- 1
回答
68浏览
GET请求里放修改操作会被CSRF攻击吗?
我最近在做用户设置页面,不小心把“删除草稿”功能写成了GET请求,类似点个链接就删了。后来听说这样会有CSRF风险,但我不太确定是不是真的有问题? 比如下面这种写法: <a href="/api...
攻击者伪造请求时为什么无法带上正确 token?因为同源策略的限制,攻击者的网页根本读取不到你网站的 session,也拿不到那个 token。他唯一能做的就是在自己的页面构造表单提交到你的服务器,但他页面里没有正确的 token 值。
你代码里用的 csurf 其实已经 deprecated 了,不过逻辑上没毛病。它生成的 token 是加密随机的,攻击者猜不到。验证这步 csurf 中间件会自动帮你做,收到请求时会比对 session 里的 token 和表单提交的 token 是否一致,不一致就拒绝。
不过有几点注意下:
一是 csurf 依赖 express-session,你确保已经正确配置了 session 中间件且放在 csurf 之前。顺序大概是这样:
二是如果你用的是 fetch 或者 axios 之类的 ajax 提交,不是传统表单,那 token 得手动放到请求头里:
传统表单提交的话你这样写就 ok 了,不用担心。
前端部分你写的没问题,但要确保每个表单都有token。几个关键点:
1. token必须每次请求重新生成(csurf已经帮你做了)
2. 必须用POST/PUT/DELETE等会修改数据的请求方法
3. 别把token存在cookie里,要放session
常见漏掉的是忘记加csrfProtection中间件到POST路由,或者前端没在每个表单加token字段。你现在的代码改一下post路由就行。
伪造请求的问题是:攻击者拿不到你session里的token值,所以他们生成的假请求里token对不上。这就是为什么要把token和session绑定。