V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rv54ntjwfm3ug8
V2EX  ›  信息安全

前后端分离的应用,中间件检查 header 里的 Client 字段就能防止跨站攻击了吗?

  •  
  •   rv54ntjwfm3ug8 · 2022-04-05 18:18:02 +08:00 · 2019 次点击
    这是一个创建于 961 天前的主题,其中的信息可能已经有所发展或是发生改变。

    为了跨设备登出方便不想用 JWT ,前端用 Angular 写的,因为 SPA 所有请求都是 ajax 传 csrf-token 不方便。拦截所有请求然后在 Header 里加一个固定的 Client 字段,API 用中间件检测没有这个字段就报错是不是就能防止跨站攻击了?

    6 条回复    2022-04-05 23:30:22 +08:00
    noe132
        1
    noe132  
       2022-04-05 18:20:08 +08:00 via Android
    理论上是的。
    westoy
        2
    westoy  
       2022-04-05 18:31:33 +08:00
    API cookie.set csrf-token -> fetch headers.X-CSRFToken = cookie.read csrt-token -> middleware if method!=GET
    then compare(headers.X-CSRFToken, current_user.csrf-token)

    你想的那套方案其实一般就是 SPA 里 csrf 的使用方式......
    rv54ntjwfm3ug8
        3
    rv54ntjwfm3ug8  
    OP
       2022-04-05 18:41:53 +08:00   ❤️ 1
    @westoy #2 请问为什么需要通过 API 请求一个 csrf-token 呢?如果放置在 API 请求头的 csrf-token 不通过 API 请求而是使用 hard-code 的静态固定值,校验的时候只检测请求头是否存在 X-CSRFToken 有哪些风险?
    westoy
        4
    westoy  
       2022-04-05 19:34:19 +08:00
    @theklf4

    api 不是特定请求, 而是在加载动态内容的时候顺便 set 一下, 固定 API fresh token 的那是 jwt 、oauth 那套

    写死的话, 如果每个人都一样, 那有人要专门搞你的话那等于没有, 每个人不一样的话, 那就是 csrf token 啊
    rv54ntjwfm3ug8
        5
    rv54ntjwfm3ug8  
    OP
       2022-04-05 19:39:11 +08:00
    @westoy #4 如果每个人都一样,有人想攻击的话怎么把一样的 csrf-token 给塞进请求头呢?
    walpurgis
        6
    walpurgis  
       2022-04-05 23:30:22 +08:00   ❤️ 2
    CSRF 攻击请求是浏览器自动发出的,攻击者无法添加自定义请求头,所以目前来说加一个固定的自定义头是可以防止 CSRF 攻击的
    但是如果你的应用安全性要求很高,就不建议用固定的请求头,因为浏览器标准和环境也是会变化的,不能保证未来也是安全的
    其实前后端分离模式下,后端接口应该统一通过请求头鉴权,不使用 cookie ,从根本上避免 CSRF 出现
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1091 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:54 · PVG 06:54 · LAX 14:54 · JFK 17:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.