防止CSRF漏洞，CSRF令牌的替代方法

Question

防止CSRF的常用方法是使用隐藏在表单中的令牌。仅仅出于好奇心，这是真正防止CSRF的唯一方法吗？人们争论不需要CSRF令牌让我发疯，我需要理解为什么。我还能怎么防止CSRF攻击呢？

Answer 1

实际上，使用CSRF令牌只是另一层防御措施。根据OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet的说法，验证请求来源也可以用于CSRF保护。为了验证我们可以使用的来源，

1. Origin Header
   • Origin header包含发起request.

的方案、主机和端口信息

​

1. Referer Header
   • Referer header包含指向当前请求的网页的链接所在的前一个网页的地址

​

但是，使用此方法存在一些限制，例如标头的不可用和完整性。攻击者有多种方法可以更改这些标头的值。因此，建议始终保持多层防御。