CSRF实施

Question

我是在网站上工作，在那里我想包括csrf检查使用转介检查，这是足够的方式来保护表单免受csrf攻击吗？

如果不是，攻击者能做些什么来绕过它呢？

Answer 1

据OWASP说：

虽然在您自己的浏览器上欺骗referer报头很简单，但是在CSRF攻击中不可能这样做。检查引用程序是防止嵌入式网络设备上的CSRF的常用方法，因为它不需要每个用户的状态。这使得推荐人在记忆不足时成为预防CSRF的一种有效方法。

然而，

然而，检查推荐人被认为是一个较弱的CSRF保护。例如，打开的重定向漏洞可用于利用受引用检查保护的基于GET的请求，而某些组织或浏览器工具可将引用程序标头作为数据保护的一种形式删除。在引用检查中也有常见的实现错误。例如，如果CSRF攻击起源于HTTPS域，则将省略引用。

完整的解释：https://www.owasp.org/index.php/Cross-Site_请求_伪造_(CSRF)_预防_作弊_Sheet#Checking_这个_推荐人_标题

Answer 2

我认为解决这一问题的方法是使用反CSRF令牌，而不是在引用头上进行中继。有不同的实现可以给出反CSRF令牌的盒子，所以你不必自己写它。

http://www.asp.net/web-api/overview/security/preventing-cross-site-request-forgery-(csrf)-attacks

https://www.owasp.org/index.php/Anti_CSRF_令牌_ASP.NET