Double Submit Cookie 防 CSRF 到底怎么实现才安全?
我最近在项目里尝试用 Double Submit Cookie 方案防 CSRF,后端把 token 放在 Set-Cookie 里,前端再从 cookie 读出来塞到请求头。但我不确定这样是不是真的安全——因为 JS 能读 cookie 的话,不就可能被 XSS 拿走?而且我试了下,如果 cookie 没设 HttpOnly,document.cookie 确实能拿到值。
另外,我现在的做法是这样:
const csrfToken = document.cookie
.split('; ')
.find(row => row.startsWith('csrf_token='))
?.split('=')[1];
fetch('/api/transfer', {
method: 'POST',
headers: {
'X-CSRF-Token': csrfToken
},
credentials: 'include'
});但同事说这样有风险,可我又看到很多教程都这么写……到底该怎么正确实现 Double Submit Cookie 才不会被绕过?
- 2
回答
65浏览
为什么我的Double Submit Cookie防CSRF方案在登录接口失效?
我在用Double Submit Cookie防CSRF时遇到奇怪的问题:其他接口都正常,但登录接口总提示"CSRF Token mismatch"。我检查了cookie设置和请求头,代码看起来没问题...
- 2
回答
42浏览
Double Submit Cookie的token怎么传到请求头里?
我按照文档做了Double Submit Cookie防护,但测试时发现后端收不到CSRF-TOKEN的请求头,只能拿到cookie里的值。这是为什么啊? 我的登录表单这样写的: document.c...
- 2
回答
88浏览
Double Submit Cookie如何防止CSRF攻击?我的实现总出现跨域问题怎么办?
我按照教程实现了双重提交Cookie,后端设置了CSRF-TOKEN到Cookie和响应头,前端在请求头带上这个Token。但测试时发现,跨域请求时浏览器报“Blocked cookie with s...
- 2
回答
58浏览
Double Submit Cookie设置后服务端无法验证,哪里出问题了?
我在用Double Submit Cookie防护CSRF时遇到问题,设置了cookie和请求头,但服务端一直提示验证失败。前端代码是这样的: document.cookie = `csrftoken...
- 2
回答
37浏览
Double Submit Cookie的token怎么同时放在cookie和请求头里?
我在用Vue和Express实现Double Submit Cookie防护,但一直报错。后端设置的cookie是Secure和HttpOnly的,前端用document.cookie拿不到值。尝试在...
- 2
回答
40浏览
怎样正确实现双提交Cookie来防御CS
最近在学习用Double Submit Cookie方法来增强网站的安全性,防止CSRF攻击。但是,在实际操作过程中遇到了些问题。我的做法是在用户登录时生成一个随机token存储于cookie中,并且...
- 2
回答
85浏览
CSRF Token验证时,表单提交的Token和Cookie里的不一致怎么办?
我在用CSRF Token防护登录表单,后端每次响应头都带了Set-Cookie: csrfToken=xxx,前端用JavaScript读取cookie里的值,然后塞到表单的隐藏字段里: docum...
- 2
回答
93浏览
前端POST请求被漏洞扫描工具标记CSRF漏洞,但后端已加防伪cookie该怎么办?
我在开发登录功能时,前端用axios发送POST请求,后端已通过nginx设置了Csrf-Token cookie且验证了请求头中的token。但最近漏洞扫描工具提示"缺少CSRF防护",明明后端已经...
- 1
回答
26浏览
前端怎么安全地处理 CSRF Token?
我在做登录功能时,后端要求每次请求都要带 CSRF Token,但我把 token 存在 Cookie 里,又怕被 XSS 攻击偷走。试过用 HttpOnly 的 Cookie,但前端又读不到 tok...
- 1
回答
15浏览
Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥? 我后端返回的 Set-Cookie 头是这样写的:Set-Co...
