在header中添加自定义属性防止CSRF
一、 概述
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等造成的问题包括:个人隐私泄露以及财产安全。
二、目前行业常见的防御方式
1.验证Referer;
2.使用验证码,用户体验比较差;
3.使用CSRF token,又分为在form表单中添加隐藏域携带token和在header中添加自定义参数携带token;
4.在请求地址中添加token并验证。
三、具体实现步骤
本文对于二中第3种方式的在请求header中添加自定义参数进行csrf参数进行防御进行实战介绍,该方式适合使用ajax异步提交表单和请求时使用。
1)在服务端做全局的token生成,token为一次性令牌(one-time token)令牌周期依赖于session的生命周期
示例:
$csrf_token = md5(uniqid(rand(), TRUE));
$_SESSION['csrf_token_name'] = $csrf_token;
2) 在前端得到token值
为了书写方便,可以将
封装成一个方法,前端页面直接调用即可。
3)ajax提交表单数据
改写jQuery中以下部分
if ( s.crossDomain == null ) {
parts = rurl.exec( s.url.toLowerCase() );
s.crossDomain = !!( parts &&
( parts[ 1 ] != ajaxLocParts[ 1 ] || parts[ 2 ] != ajaxLocParts[ 2 ] ||
( parts[ 3 ] || ( parts[ 1 ] === "http:" ? 80 : 443 ) ) !=
( ajaxLocParts[ 3 ] || ( ajaxLocParts[ 1 ] === "http:" ? 80 : 443 ) ) )
);
}
// Convert data if not already a string
if ( s.data && s.processData && typeof s.data !== "string" ) {
if(s.type.toUpperCase()=="POST"){
if(s.data && s.data['csrf_token_name'] != undefined){
s.headers = s.headers || {},
s.headers['Csrf-Token-Name'] = s.data['csrf_token_name'];
delete s.data['csrf_token_name'];
}
}
s.data = jQuery.param( s.data, s.traditional );
}
这样可以全局获取token并且将token附在header中Csrf-Token-Name上,提交至服务端。
4)服务端进行验证
if (strtoupper($_SERVER['REQUEST_METHOD']) !== 'POST')
{
return true;
}
if($this->is_need_check_csrf()==false){
return true;
}
$session_hash = $_SESSION['csrf_token_name'];
$request_method = 2;
if (isset($_SERVER['HTTP_X_REQUESTED_WITH']) && $_SERVER['HTTP_X_REQUESTED_WITH'] === 'XMLHttpRequest') {
$request_method = 1;
$_scrf_key = "HTTP_Csrf_Token_Name";
$valid = isset($_SERVER[$_scrf_key], $session_hash) && hash_equals($_SERVER[$_scrf_key],$session_hash);
}
else {
$valid = isset($_POST['csrf_token_name'], $session_hash)
&& hash_equals($_POST['csrf_token_name'], $session_hash);
unset($_POST['csrf_token_name']);
}
csrf_regenerate();
if ($valid !== TRUE)
{
if($request_method == 1){
echo json_encode(array("statusCode"=>500,"errors"=>"页面停留时间过长,请刷新页面"));
exit;
}else if($request_method ==2){
if(isset($_SERVER['HTTP_REFERER'])){
$referer=$_SERVER['HTTP_REFERER'];
header("Location: $referer");
exit;
}else{
header("Location: /");
exit;
}
}
}
验证请求是否合法,对于ajax请求返回json数据。
5)前端接收后端返回数据
如果请求验证通过,进行后续的业务处理,如果验证不通过,返回500状态码,前端页面进行刷新操作,提示停留时间过长造成的(可能的原因是长时间没操作,session过期,或者同一个页面多次打开,该token值已被其他tab使用过了),此时系统自动刷新当前页面。对于请求验证通过,但是页面不成功的情况,需要用户再次进行操作,此时需要请求回带新的token(x_token)回来。
// If not modified
if ( status === 304 ) {
statusText = "notmodified";
isSuccess = true;
// If we have data
} else {
try {
success = ajaxConvert( s, response );
statusText = "success";
isSuccess = true;
} catch(e) {
// We have a parsererror
statusText = "parsererror";
error = e;
}
}
var t = JSON.stringify(response);
if(t && t.statusCode != undefined && t.statusCode!=200 && t.data!=undefined && t.data.x_token != undefined){
$("input[name=csrf_token_name]").val(t.data.x_token);
}
if(t && t.statusCode != undefined && t.statusCode == 500){
setTimeout(function() {
location.reload();
}, 1000);
}