如何实现跨域form CSRF和防重放？

Question

我正在考虑做一个项目，但我想知道跨站点请求伪造会不会让它变得不安全。

基本上，我希望有一个web服务，它在另一个域的页面上使用常用的技巧(JSON-P和iframes)生成表单。因此，WebService.example.com生成一个表单的超文本标记语言，并在User.example.com上显示给用户

我假设这个表单将不得不使用注入的iframe技巧来提交来自javascript的表单。因为任何人都可以从WebService.example.com获得相同的数据，我如何才能确保这些数据实际上只来自User.example.com？优选地，不需要在User.example.com上运行任何服务器端代码。

注意，我将在WebService中使用ASP.Net，但我希望以一种语言/框架不可知的方式对其进行解释

Answer 1

如果不在两个域上都使用服务器端脚本，这是相当困难的。

如果你改变了你的体系结构，只使用跨域消息传递(在顶层域中托管表单等，使用iframe进行通信)，那么你可以使用XDM来验证它确实是你正在与之交谈的目标域。

如果你只针对支持html5的浏览器，那么使用postMessage，如果你想要更广泛的支持，比如RPC等等，那么使用easyXDM，它抽象了跨域消息传递的所有麻烦。

实际上，您可以将表单托管在这两个文档中，您只需要使用XDM通信来进行成功的“握手”，即验证origin。