CSRF攻击和Websockets

Question

websockets易受CSRF攻击吗?如果Websocket像登录一样进行身份验证，该如何做到这一点？

Answer 1

我认为是的，。

如果攻击者以某种方式从客户端初始化了套接字连接并发送消息，那么CSRF攻击是可能的。

当然，只有当您使用基于COOKIE的身份验证时，这才是真的。

因为CSRF攻击使用cookies，cookies由浏览器随请求自动发送，并对请求进行身份验证。

如果您使用cookies对请求和连接进行身份验证，那么CSRF攻击是可能的。

为了避免这些攻击，最好使用像 .这样的基于令牌的身份验证

No Cookie-based authentication == No need for CSRF protection.

下面是一些关于AUTHENTICATION的有用链接

cookies vs token authentication

REST api authentication

Do you need CSRF protection?

Answer 2

我希望这还不算太晚，但除了HttpOnly会话cookie之外，您还可以查看Origin。参考：https://security.stackexchange.com/questions/76816/preventing-csrf-attacks-against-websocket-communications

答案也受到以下因素的影响：https://channels.readthedocs.io/en/latest/topics/security.html

应为移动应用保留基于令牌的身份验证imo。