我的 CSRF 保护方法安全吗？

Question

我一直在使用 PHP 进行自己的 CSRF 保护。根据我所读到的内容，我决定使用 cookie 来实现我的保护，但对于我的方法是否能够抵御 CSRF 攻击感到有点困惑。

所以我的方法如下：

1. 用户发送登录请求

2. 服务器检查是否设置了 CSRF 令牌，如果未设置，则创建一个并将其存储在其 Session 中并使用该令牌创建一个 Cookie

3. 通过检查是否在 POST 请求中来验证 CSRF 令牌，如果不在则检查 $_COOKIE 中的令牌

4. 如果令牌无效则发回消息...

我决定使用 cookie 来存储令牌，因为这适用于 Ajax 请求，而且我不必在每次使用 Ajax POST 时都包含它。

我感到困惑的是攻击者不能只是提出请求吗？ POST 或 GET，因为 cookie 在那里，它只是随请求一起发送，因此是一个有效的请求，因为令牌每次都与浏览器一起发送？

Answer 1

cookie 不应包含 CSRF 令牌。只有客户端会话存储应该包含它。而且你不应该反对 cookie 中的 CSRF。

如果您检查与 cookie 一起发送的 CSRF，您将绕过 CSRF 背后的想法。

一个简单的攻击场景是外国网站上的隐藏表单：

<form method="method" action="http://site-to-gain-access-to.tld/someactionurl">
  <!-- some form data -->
</form>

并且这个隐藏的表单将在没有用户干预的情况下使用 javascript 执行。如果用户在site-to-gain-access-to.tld 站点上登录并且如果没有激活 CSRF 保护，那么就像用户本身会触发该操作一样，因为用户的会话 cookie 将与该请求一起发送。因此服务器会假设是用户触发了该请求。

如果您现在将 CSRF 令牌放入您的 cookie 中，您将遇到与会话相同的问题。

CSRF 令牌必须始终仅作为请求正文或 url 的一部分发送，而不是作为 cookie。

所以突出显示的部分：

服务器检查是否设置了 CSRF 令牌，如果没有则创建一个并将其存储在他们的 Session 中并创建一个 带有令牌的 Cookie

通过检查是否在 POST 请求中来验证 CSRF 令牌，如果不在则检查 $_COOKIE 中的令牌

会破坏 CSRF 保护。 CSRF 是作为明文存储在 cookie 中还是以服务器端加密的形式存储并不重要。

Answer 2

只要“用户发送登录请求”是指登录页面的初始GET请求，这是正确的。 CSRF 应该在 GET 请求中生成和存储，并在每次 POST 期间进行验证。

我感到困惑的是攻击者不能只是提出请求吗？ POST 或 GET，因为 cookie 在那里，它只是随请求一起发送，因此是一个有效的请求，因为令牌每次都与浏览器一起发送？

是的。 CSRF 令牌不是秘密的。他们只是确认只有在发出预期的 GET 请求后才发出 POST。这意味着某人只有在他们首先请求表单时才能提交表单。它可以防止不良站点通过 POST 将用户发送到您的站点。它不会阻止攻击者发出 GET 请求、获取令牌和发出有效的 POST。

来自OWASP：

借助一些社会工程学的帮助（例如通过电子邮件或聊天发送链接），攻击者可能会诱骗 Web 应用程序的用户执行攻击者选择的操作。如果受害者是普通用户，成功的 CSRF 攻击可以强制用户执行状态更改请求。