加密cookie以防止csrf攻击

Question

为了防止CSRF攻击，创建一个加密的cookie是否可以防止CSRF攻击？此外，还要对照目标来源检查推荐人。我不能更改1000 s的页面以将令牌嵌入到每个提交中，而且我也没有会话状态。

Answer 1

为了防止CSRF攻击，创建一个加密的cookie是否可以防止CSRF攻击？

不，要求某些cookie不会防御跨站点请求伪造，因为浏览器仍然会发送cookie，不管请求是跨站点还是同一个站点。

此外，还要对照目标来源检查推荐人。我不能更改1000 s的页面以将令牌嵌入到每个提交中，而且我也没有会话状态。

阅读OWSAP预防备忘单的推荐方法，以防止CSRF。特别是查看验证相同的原产地技术，这些技术比令牌更容易实现。如果有的话，也可以查找OWSAP对这项技术的局限性的描述。

如果我没记错的话，对大多数(如果不是全部)“主要”客户来说，检查原产地是对付CSRF的有效对策。

Answer 2

首先，我们必须了解CSRF的主要问题；服务器信任我们发送的每一个请求，换句话说，服务器没有确保该请求是由合法用户有意识地发送的，因此，我们必须添加一个元素来正确识别每个请求。

防范CSRF的主要思想是实现一个独特的元素，这必须是很难预测的，然后像令牌或CAPTCHA这样的措施是很好的解决方案。CAPTCHA在大多数情况下是不高效的，因为用户不喜欢为他访问的每个站点引入价值，记住，安全和性能之间必须保持平衡，这样，主要的解决方案将是象征性的。

现在，检查源还不足以防止CSRF攻击；假设一个网站易受XSS攻击，您可以插入脚本来执行CSRF攻击；另一个示例可能是可编辑模块，您可以在其中添加或编辑元素来自定义可访问的web页面，该页面可为应用程序的每个用户访问，您可以添加如下内容：

<img src="http://mywebsite/transfer?account=123456&quantity=1000000" />

如果web应用程序验证了原点，在这种情况下，请求将是有效的，因为它属于同一来源。

我希望这些信息对你有帮助。

Answer 3

不，加密cookie对防止CSRF攻击毫无作用，因为攻击者从来不需要访问cookie来预置攻击。保龄球自动发送给它设置的域。

另一方面，检查引用程序和原始标头是很好的，但并不完美，因为客户端可能被配置为不发送这些标头。

在请求中发送令牌实际上是唯一完美的解决方案，但您可能只需检查头就可以逃脱。