新标签页和浏览器中的 CSRF 令牌 Window
CSRF Token in new Tab and browser Window
我已经通过以下方式在我的nodejs服务器上实现了CSRF攻击防护 -
登录的用户会收到一个 CSRF 令牌和一个 cookie(存储在 cookie 中的基于 JWT 的令牌)。 CSRF 令牌成为客户端使用 $.ajaxSetup 发送的所有未来请求 header 的一部分。
每当用户发出请求(GET 或 POST)时,我都会将客户端发送的 cookie 和 csrf 令牌(在 header 中)与我服务器上存储的进行比较应用程序工作正常。
但是,当 logged-in 用户打开新选项卡或新浏览器时 window,客户端有 cookie 但在其请求 header 中没有 CSRF 令牌。所以服务器认为这是CSRF攻击并阻止请求!
我的问题是 - 在不影响 CSRF 安全的情况下,我如何才能在多个浏览器选项卡上拥有相同的 session 运行 和 windows 而无需用户多次登录?
不要对 GET 请求使用 CSRF 保护。要在 GET 请求中传递 CSRF 令牌,您必须将其放入 URL 本身(例如,在查询参数中),而 URL 不是放置 security-sensitive 信息的好地方.它们往往会通过多种方式泄露,尤其是 Referer header 在跟踪链接或从受保护页面获取资源时发送。
您应该确保所有具有积极影响的操作(也就是说,更改数据库中某些内容、写入文件系统或发送邮件的操作)仅通过 POST 公开请求,并使用 CSRF 令牌进行适当保护。没有任何活动效果的视图(例如查看页面、搜索内容)应该可以通过 GET 访问并且不需要 CSRF 保护。然后用户可以打开一个新选项卡并浏览到带有表单的页面而不会出现错误;将使用正确的参数生成表单,因此将提交 OK。
Side-issue:您使用的是Double Submit CookieCSRF防护方式。这……好吧……但不能像其他方法那样保护某些场景。
(具体来说,如果攻击者可以执行 cookie 固定攻击——例如,通过在 neighbour/child 子域上利用易受攻击的应用程序,或通过 HTTP 对 HTTPS 站点进行 MitM 攻击——他们可以绕过 CSRF 保护通过让用户在请求参数中发送他们在上一步中推送给用户的相同值。)
如果该站点是敏感站点或由于附近的其他 less-trusted 应用程序而特别容易受到此影响,您可能希望考虑使用 Synchronizer Token alternative, or Encrypted Token(也可以通过签名来完成;如果您不使用任何类型的 session 存储,这是一个很好的选择。
我决定选择 x-requested-with header。默认情况下,此 header 是 jquery 中所有 AJAX 请求的一部分。
更多详细信息 -
What's the point of the X-Requested-With header?
https://security.stackexchange.com/questions/107906/alternative-to-anti-csrf-tokens-for-ajax-request-same-origin-policy
这允许交叉标签、交叉 window 浏览,其中使用 cookie 进行用户身份验证并检查 x-requested-with header 以防止 CSRF 攻击。
我已经通过以下方式在我的nodejs服务器上实现了CSRF攻击防护 -
登录的用户会收到一个 CSRF 令牌和一个 cookie(存储在 cookie 中的基于 JWT 的令牌)。 CSRF 令牌成为客户端使用 $.ajaxSetup 发送的所有未来请求 header 的一部分。
每当用户发出请求(GET 或 POST)时,我都会将客户端发送的 cookie 和 csrf 令牌(在 header 中)与我服务器上存储的进行比较应用程序工作正常。
但是,当 logged-in 用户打开新选项卡或新浏览器时 window,客户端有 cookie 但在其请求 header 中没有 CSRF 令牌。所以服务器认为这是CSRF攻击并阻止请求!
我的问题是 - 在不影响 CSRF 安全的情况下,我如何才能在多个浏览器选项卡上拥有相同的 session 运行 和 windows 而无需用户多次登录?
不要对 GET 请求使用 CSRF 保护。要在 GET 请求中传递 CSRF 令牌,您必须将其放入 URL 本身(例如,在查询参数中),而 URL 不是放置 security-sensitive 信息的好地方.它们往往会通过多种方式泄露,尤其是 Referer header 在跟踪链接或从受保护页面获取资源时发送。
您应该确保所有具有积极影响的操作(也就是说,更改数据库中某些内容、写入文件系统或发送邮件的操作)仅通过 POST 公开请求,并使用 CSRF 令牌进行适当保护。没有任何活动效果的视图(例如查看页面、搜索内容)应该可以通过 GET 访问并且不需要 CSRF 保护。然后用户可以打开一个新选项卡并浏览到带有表单的页面而不会出现错误;将使用正确的参数生成表单,因此将提交 OK。
Side-issue:您使用的是Double Submit CookieCSRF防护方式。这……好吧……但不能像其他方法那样保护某些场景。
(具体来说,如果攻击者可以执行 cookie 固定攻击——例如,通过在 neighbour/child 子域上利用易受攻击的应用程序,或通过 HTTP 对 HTTPS 站点进行 MitM 攻击——他们可以绕过 CSRF 保护通过让用户在请求参数中发送他们在上一步中推送给用户的相同值。)
如果该站点是敏感站点或由于附近的其他 less-trusted 应用程序而特别容易受到此影响,您可能希望考虑使用 Synchronizer Token alternative, or Encrypted Token(也可以通过签名来完成;如果您不使用任何类型的 session 存储,这是一个很好的选择。
我决定选择 x-requested-with header。默认情况下,此 header 是 jquery 中所有 AJAX 请求的一部分。
更多详细信息 -
What's the point of the X-Requested-With header?
https://security.stackexchange.com/questions/107906/alternative-to-anti-csrf-tokens-for-ajax-request-same-origin-policy
这允许交叉标签、交叉 window 浏览,其中使用 cookie 进行用户身份验证并检查 x-requested-with header 以防止 CSRF 攻击。