Django 带有CSRF protection middleware,它会生成一个唯一的每会话令牌以在表单中使用。它扫描所有传入的POST 请求以获取正确的令牌,如果令牌丢失或无效,则拒绝该请求。
我想对一些 POST 请求使用 AJAX,但是说请求没有可用的 CSRF 令牌。这些页面没有<form> 可以挂钩的元素,我不想混淆将标记作为隐藏值插入的标记。我认为这样做的一个好方法是公开一个像 /get-csrf-token/ 这样的 vew 来返回用户的令牌,依靠浏览器的跨站点脚本规则来防止恶意站点请求它。
这是个好主意吗?是否有更好的方法来抵御 CSRF 攻击,同时仍然允许 AJAX 请求?
【问题讨论】:
更新:以下是正确的,如果所有浏览器和插件都正确实施,则应该是正确的。不幸的是,我们现在知道它们不是,并且浏览器插件和重定向的某些组合可以允许攻击者在跨域请求中提供任意标头。不幸的是,这意味着即使是带有“X-Requested-With: XMLHttpRequest”标头的 AJAX 请求现在也必须受 CSRF 保护。结果,Django no longer exempts Ajax requests from CSRF protection.
原答案
值得一提的是,保护 AJAX 请求免受 CSRF 影响是不必要的,因为浏览器不允许跨站点 AJAX 请求。事实上,Django CSRF 中间件现在是automatically exempts AJAX requests from CSRF token scanning。
这仅在您实际检查 X-Requested-With 标头服务器端的“XMLHttpRequest”值(Django 会这样做)并且仅从 CSRF 扫描中免除真正的 AJAX 请求时才有效。
【讨论】:
如果您知道 AJAX 请求需要 CSRF 令牌,您可以随时将其嵌入 HTML 中的某处;然后你可以通过 Javascript 通过遍历 DOM 找到它。这样,您仍然可以访问令牌,但不会通过 API 公开它。
换一种说法:通过 Django 的模板来完成——而不是通过 URL 调度程序。这种方式更安全。
【讨论】:
xhr.setRequestHeader("X-CSRFToken", csrftoken) 从 cookie $.cookie('csrftoken') 中获取令牌。由于令牌无处出现,因此更加安全。
取消,我错了。 (请参阅 cmets。) 您可以通过确保您的 JSON 遵循规范来防止利用:始终确保您返回一个对象文字作为顶级对象。 (我不能保证不会有进一步的漏洞利用。想象一下浏览器在其 window.onerror 事件中提供对失败代码的访问!)
您不能依赖跨站点脚本规则来保持 AJAX 响应的私密性。例如,如果您以 JSON 形式返回 CSRF 令牌,则恶意网站可以redefine the String or Array constructor 并请求资源。
bigmattyh 是正确的:您需要将标记嵌入到标记中的某个位置。或者,您可以拒绝任何 确实 具有 不 匹配的引荐来源网址的 POST。这样一来,只有过度使用软件防火墙的人才容易受到 CSRF 的攻击。
【讨论】: