Защита маркера CSRF с использованием файла cookie

Question

Хорошая практика - сохранить токен csrf в файле cookie или лучше использовать скрытое поле в форме? Также хорошо ли регенерировать токен csrf для каждого пользовательского запроса, как то, что делают captchas?

Thanks

Answer 1

Лучше всего включить его в форму. Идея маркера CSRF заключается в том, что он не передается пассивно (например, если злоумышленник может обмануть браузер в доступе к некоторому URL-адресу, который делает что-то неприятное). Печенье передается пассивно.

Answer 2

Лучшее объяснение этому вопросу можно найти на веб-сайте OWASP по адресу OWASP CSRF Prevention Cheat Sheet.

Во-первых, с использованием куки для маркера CSRF не может помочь много, потому что все куки, даже тайные, будут представлены с каждым запросом. Все токены аутентификации будут отправляться независимо от того, был ли конечный пользователь обманут в отправке запроса.

Во-вторых, приложение может включать в себя скрытый входной параметр в форме с общим названием, таким как «CSRFToken». Значение этого токена должно генерироваться случайным образом, чтобы злоумышленник не мог его догадаться.

Кроме того, Challenge-Response - еще один вариант защиты для CSRF. Он может быть реализован в следующих способов:

1. CAPTCHA на
2. Re-аутентификации (пароль)
3. Одноразовый Токен

Answer 3

Куки CSRF, безусловно, открыт для атаки, но реализация в безопасности, как значение сеанса всегда будет проверяться на поданное значение токена, которое хранится в теле или заголовке запроса, поэтому я не вижу причины. Двойная подача (http only cookie vs post data) или токен-синхронизатор (сеанс против сообщений) шаблоны, изложенные на веб-сайте OWASP, являются хорошими оценками и оба используют файлы cookie.

Двойной, как упоминалось ранее, перемещает хранилище клиенту, поэтому считается апатридом, но в любом случае два токена для сравнения, из которых всегда остается неизвестным злоумышленнику.