CSRF的几种防御方法的利弊分析

目录
  • 使用POST替代GET

  • 检验HTTP Referer

  • 验证码

  • Token

    • Cookie Token

    • HTTP头自定义属性Token

    • 表单Token

  • 总结


本文直接从防御方式开始讨论,防御CSRF有4种方法:

  • 使用POST替代GET

  • 检验HTTP Referer

  • 验证码

  • Token

使用POST替代GET

一些程序员在开发的时候都是用GET、POST通用的函数来接收客户端的数据,这样也是某些接口有CSRF的原因之一,但是将全部接口都改成只允许POST方式访问,就能防范CSRF了吗?答案是:不能。只能说提高了一些成本。

原本是GET方式访问的接口,攻击者只需要构造接口的URL参数让受害者点击即可。现在改成使用POST方式访问,攻击者只需要利用其他站点,在站点上布置一个POST请求,让用户点击。

检验HTTP Referer

HTTP Referer真是一个用于安全的字段,除了能防范CSRF,还能防JSONP劫持、盗链、站外提交等安全问题。但是HTTP Referer就一点问题都没有了吗?答案是:否定的,HTTP Referer只能检查点击的链接来源是来自站内还是站外,如果是GET方式的CSRF,那链接本身就是站内的,也就意味着检验HTTP Referer是无效的。

验证码

上面说的两种防御CSRF的方式,都有一定缺陷。但是使用验证码是完全可以做到防止CSRF的,因为验证码是用户在提交表单的时候,必须输入图片验证码,保证了服务器收到的是来自预期的请求。这里我补充一下,验证码功能必须没有缺陷才行,我之前测试过很多WEB站点,验证码或多或少有问题,这样不但不能防止CSRF,甚至会引发出其他漏洞被利用。

下面我用前端抓包的方式来观察百度的发送图片验证码的流程:

(假设我这里操作一个修改密码操作)我请求了一次修改密码接口后,该接口就会返回图片验证码资源回到浏览器并展示出来,发送修改密码表单时需要用户填写图片验证码,然后将修改的一起发送到服务器去校验。

这样就保证了攻击者无法预知与伪造请求中的veritycode参数。

那么验证码有什么缺点吗?在用户体验上,如果一个网站很多功能都需要输入验证码才能发送,那么无疑非常影响用户体验。

Token

Token和验证码的原理非常相似,只不过在使用上,验证码是非常需要用户交互的,但是Token基本是无感知的。
根据Token加入请求的方式,又可以分为三种类型:

  • Cookie Token

  • HTTP头自定义属性Token

  • 表单Token

Cookie Token

类似图片验证码一样,每次请求的功能接口时,都通过响应头的Set-Cookie,将token存储到本地cookie中。

Set-Cookie: RePassToken=0123456789 expires=Thu, 04-Apr-2019 15:11:32 GMT; path=/; domain=passport.baidu.com; httponly

HTTP头自定义属性Token

先申明前端要在请求头里面添加自定义参数,必须后台允许,否则请求会报错。

这里以vue-resource请求为例,前端的方法,全局配置请求头,在main.js里面设置:

Vue.http.interceptors.push((request, next) => {
    request.headers.set('HTTP_Token', '1234567890');   // 在请求里面添加了token
  next((response) => { return response })
})

这里以PHP举例,服务器端将http头数据都放在全局数据_SERVER里,参数都以HTTP开头,例如:

# 客户端在http头里添加了HTTP_Token参数, 服务器端可这样读取
if(array_key_exists('HTTP_Token', $_SERVER)) {
$token = $_SERVER['HTTP_Token'];
}

我直接讲这个方式的缺点,使用HTTP头定义属性的方式来修复CSRF还是比较少的,因为现在的前端和后端的开发基本都是两个独立的团队,安全部门为了修复一个低位漏洞CSRF就要沟通两个部门,还是修改前端和后端两处地方,显然不是一个最优解。毕竟还是有很多其他低成本的方式可以使用。

表单Token

这个表单可以是GET、POST,每个表单,请求都得包含一个token,才能使用功能。下面观察一下百度的个人中心的token使用流程。

如果修改了token发 请求,那么将不能得到正常的响应文了。

总结

以上说的几种防护方式各有利弊,需要注意的是,如果网站还存在着其他安全漏洞,比如XSS,那么攻击者还是能够通过JS取到Token进行攻击的。

(0)

相关推荐

  • flask插件系列之Flask-wtf表单

    flask_wtf是flask框架的表单验证模块,可以很方便生成表单,也可以当做json数据交互的验证工具,支持热插拔. 安装 pip install Flask-WTF Flask-WTF其实是对w ...

  • 常见 Web 安全攻防总结

    Web 安全地对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助.今天这边文章主要的内容就是分析几种 ...

  • 我去!爬虫遇到JS逆向AES加密反爬,哭了

    大家好,我是辰哥~ 今天准备爬取某抑云音乐时,遇到『JS逆向AES加密』反爬.比如这样的: 在发送请求获取数据时,需要用到参数params和encSecKey,但是这两个参数经过JS逆向AES加密而来 ...

  • python测试开发django-25.表单提交之post注册案例

    前言 一个网站上新用户注册,会写个注册页面,如果用django写个注册页面的流程呢? 本篇以post请求示例,从html页面上输入用户注册信息,提交到后台处理数据,然后传参数据到User数据库表里面 ...

  • 步进电机5种驱动方法的利弊分析

    步进电机5种驱动方法的利弊分析 驱动器技术的发展,从原来国外一枝独秀到国内各种优秀技术涌现,可以看出国内技术的进步,同时也可以看出,每一次技术的革新都会带来几个以高端技术去引导市场的市场革命. 1. ...

  • 综述论文:对抗攻击的12种攻击方法和15种防御方法

    这篇文章首次展示了在对抗攻击领域的综合考察.本文是为了比机器视觉更广泛的社区而写的,假设了读者只有基本的深度学习和图像处理知识.不管怎样,这里也为感兴趣的读者讨论了有重要贡献的技术细节.机器之心重点摘 ...

  • 新高考12种选科组合“利弊”分析

    近日,上清北为各位考生带来新高考12种选科组合"利弊"分析(3+1+2). 首选科目为物理的6个组合特点 物理组特点: ①主要以报考理工科专业为主,文科类专业相对较少: ②物理组可 ...

  • 西装袖的三种制作方法及详细分析

    .................................................................................................... ...

  • 实用!给排水管道常用的12种连接方法及优缺点分析

    来源网络整理,如有侵权联系删除导读管道连接是给排水工程施工中非常重要的一环,直接关系到工程的质量.随着管道行业的迅速发展,连接管道的方法也越来越多,但是不同的管道各有优缺点,也有着不同的用途,正确选用 ...

  • 新高考12种选科组合“利弊”分析(3 1 2)

    你们的高考之路,我们一路相伴! 首选科目为物理的6个组合特点 # 物理组特点: ①主要以报考理工科专业为主,文科类专业相对较少: ②物理组可报的专业范围一般都很大,没有明确的专业方向,也不是很讨厌物理 ...

  • 新高考“3 1 2” 12种选科组合利弊分析

    # 物理组特点: ①主要以报考理工科专业为主,文科类专业相对较少: ②物理组可报的专业范围一般都很大,没有明确的专业方向,也不是很讨厌物理,物理组是不错的选择: ③一般来说,物理组报考的人数比历史组多 ...

  • 新高考12种选科组合“利弊”分析(3+1+2)

    首选科目为物理的6个组合特点 物理组特点: | 主要以报考理工科专业为主,文科类专业相对较少: | 物理组可报的专业范围一般都很大,没有明确的专业方向,也不是很讨厌物理,物理组是不错的选择: | 一般 ...

  • 【转】新高考12种选科组合“利弊”分析(312)

    首选科目为物理的6个组合特点 # 物理组特点: ①主要以报考理工科专业为主,文科类专业相对较少: ②物理组可报的专业范围一般都很大,没有明确的专业方向,也不是很讨厌物理,物理组是不错的选择: ③一般来 ...