跨平台CSRF

Question

我们有一个ASP.Net web应用程序，我们正在考虑迁移到另一个堆栈，如应用程序。我们不想一蹴而就地替换整个应用程序，而是希望将公开的REST替换成碎片。我们的想法是在现有的.Net应用程序上运行新的web应用程序，并在实现过程中路由一些ajax请求。

我的问题是:我们是否可以使用跨平台的CSRF库来验证.Net端和Python/Ruby/Node堆栈上的请求？

理想情况下，一旦API端点在新堆栈中实现，我们只需将其他端点指向新的url。

Answer 1

您可以使用一种简单的技术(如双提交饼干 )来实现自己的代码--双方的代码应该是相当直接和可互操作的。

Double Submit Cookies的工作方式是将随机值(希望由CSPRNG生成或使用另一种不可预测的方法)设置为cookie和隐藏表单字段。

由于同一原产地政策的原因，任何攻击者都无法从隐藏表单字段中检索此值，因此无法在cookie值与隐藏窗体字段相同的情况下发送跨站点请求。将值存储在cookie中可以避免服务器端存储任何内容的需要。

因为这是一个简单的检查，并且可以很容易地在两个框架中实现(伪代码：if cookie != hidden_field then <reject>)，所以实现起来应该很简单。