如果使用HTTPOnly cookie,是否需要CSRF中间件?应该是基于会话的吗?
如果使用HTTPOnly cookie,是否需要CSRF中间件?应该是基于会话的吗?
提问于 2021-11-12 19:20:30
现在授权显示如下:如果用户输入正确的数据,服务器将生成一个唯一的sessionKey,并将其插入到这个用户的FK会话表中。作为对JSON请求的响应,我发送这个sessionKey。web客户端将此密钥设置在cookie中。
但问题是,如果web客户端存储这个cookie,JS将能够访问它们,这是不安全的。另一种方法是设置仅HTTP的cookie。但目前尚不清楚在这种情况下是否需要使用CSRF中间件。HTTPOnly属性解决了XSS / CSRF攻击问题吗?如果它没有决定,并且您需要一个CSRF中间件,那么csrf cookie必须是一个会话cookie。
问题是,我的框架的所有csrf中间件都不允许使用会话csrf cookie。或者,编写我自己的中间件。我是否正确理解csrf中间件将我给客户端的令牌存储在RAM中并对每个请求进行验证?但是,如果这个令牌可以和授权cookie一样被截获,那么它有什么意义呢?
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-11-12 20:58:58
让我们从声明跨站点脚本(XSS)和跨站点请求伪造(CSRF)是两种不同的动物开始。
- XSS是将恶意代码嵌入到站点中,以便在客户端计算机上执行该代码。没有HTTPOnly标志可以减轻这种情况。
- CSRF是关于在一些第三方站点上嵌入恶意代码并向您发送到第三方站点的链接。恶意代码可以尝试触发GET/POST请求(这可以绕过浏览器相同的原产地策略),并在用户登录的站点上执行一些不必要的操作。通过一个例子可以更容易地理解这一点:
- 您在https://example.com上登录到您的站点。使用cookie.
- Someone对您进行身份验证,会向您发送一个指向https://malicious.net的链接。您将在一个单独的浏览器中打开链接,tab.
- Malicious代码正在执行,并向https://example.com/deleteAccount=1发出请求。Cookie将被附加,请求将被认证并且executed.
答案是否定的-- HTTPOnly标志不会减轻这一切。但让我们集中精力解决CSRF问题。你有什么选择?
IMO最简单的方法可能不是通过cookie传递sessionKey,而是通过授权头传递。这不能由浏览器自动完成,因此您将安全地免受CSRF攻击。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/69948071
复制相关文章
相似问题
腾讯云开发者
