OpenID-Connect认证服务器的登录页面中是否需要CSRF令牌？

Question

标题很不言自明。我知道在登录页面中缺少CSRF令牌可能会导致侵犯隐私(根据此link)。然而，我担心的是，它是否会在身份验证服务器的登录页面中导致任何新的漏洞？

Answer 1

我想说的是，防止跨站点请求伪造( CSRF )是必需的，但不一定要使用CSRF令牌。这些令牌是一个典型且常见的解决方案，但任何保护用户免受此攻击的东西都应该足够。

所以，退后一步，OWASP says

跨站请求伪造是一种攻击，它迫使终端用户在他们当前进行身份验证的web应用程序上执行不想要的操作。

他们的CSRF cheatsheet有许多可能的保护(包括非基于令牌的选项)。以下是OpenID连接提供程序应支持的部分或全部内容：

• 仅使用SameSite cookies或SameSite maker cookie跟踪跨站点请求使用request
• Verification of the origin中的custom headers使用标准标头
• 使用GET请求中的double submit cookies
• Never更改状态

此外，不要忘记还要防止跨站点脚本攻击(XSS)，否则其中一些保护措施可能会失效。这可以使用CSP和other techniques来完成。