CSRF从表面上看,大多数框架都会将
CSRFPOSTJSONx-www-form-urlencoded作为解决方案,我正在考虑一种侵入性较小的替代方案;特别是,我正在生成一个随机标头:一个随机标头名称(通用前缀),包含一个随机
CSRF这是否存在任何安全(或其他类型)风险?
X-Requested-WithX-Requested-With您不需要随机令牌,因为如果服务器没有通过 CORS 选择加入,则无法跨域发送此标头。
因此,设置和检查非标准标头是防范 CSRF 的有效方法。
OWASP CSRF 预防备忘单 没有提及它,但它确实提到检查
OriginOrigin此外,这只适用于 AJAX 请求。对于普通形式的 POST,不可能添加额外的标头。此外,过去 Flash 等插件存在允许设置任何标头的错误,从而使攻击者能够使用 Flash 发出跨域请求。然而,此类问题早已得到修复。
如果您想要一个令牌以及深度防御策略的一部分,您可以调整
X-Requested-WithX-Requested-With: XMLHttpRequest;0123456789ABCDEF那么令牌可以只是为了防止 CSRF 目的而创建的 cookie 值(当然是使用加密安全算法和熵源生成的)。
这是否存在任何安全(或其他类型)风险?
没有:只要您可以从客户端传递它并在服务器上检查 - 就可以了
另外,我应该多久刷新一次 CSRF 令牌?我是否需要为每个请求或每隔几个请求提供一个新的,或每次站点访问和每天一次,或者......?
一般来说你根本不应该刷新它。如果它是使用加密的强随机数生成器生成的 - 您可以在每个会话中使用一个。重要的是,不可能猜测它,因此它不应该从任何已知数据中得出。