防止对WCF服务的CSRF攻击

Question

如何防止任何可能的CSRF攻击我的公共WCF soap服务？

我知道主要的解决方案是使用CSRF令牌，但是我如何才能做到这一点呢？

希望有人能给我一些想法，或者至少告诉我WCF不能被CSRF攻击。

Answer 1

可以，如果您有enabled AJAX support for your service，CSRF适用于WCF。

一种快速而简单的缓解方法是设置检查自定义标头，如X-Requested-With请求标头。如果没有开启CORS，这些头部将无法跨域传递。

为了进一步加强这个解决方案，您还可以为每个会话设置一个令牌，然后在头中传递该令牌。参见this answer。这将减轻浏览器插件中的漏洞，例如Flash和Silverlight，在这些插件中，Flash和Silverlight之前存在一个错误，允许跨域设置不应该允许的任意标题。