Egg: 重新梳理 csrf

Created on 14 Jan 2017 · 13Comments · Source: eggjs/egg

https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#CSRF_Specific_Defense

业界主要的几种方案：

强 csrf token 校验

实现方案：koa-csrf
优点：强校验
缺点：依赖服务端状态（session），ajax 使用不方便

Double Submit Cookie（ctoken）

实现方案：ctoken
优点：仅弱于强 csrf token 校验，不需要服务端状态。
缺点：对 ajax 使用不够友好。

指定 header

实现方案：保留现在的 ctx.isAjax 判断。
优点：对 ajax 使用最方便。
缺点：会被绕过，django 和 rails 都已经废弃了此种方案https://www.djangoproject.com/weblog/2011/feb/08/security/

egg 方案

综合考虑，强 csrf token 校验体验不好，指定 header 方案有漏洞，可以考虑全部基于 Double Submit Cookie 方案来实现。

所有的 POST, PUT, PATCH, DELETE 等 unsafe 的方法都必须要经过校验。
form 表单：ctx.csrf 从 cookie 中取而不再从 session 中取 token，不再使用 csrf token，统一到 Double Submit Cookie 方案。
不再支持 isAjax 绕过。

文档

加强说明 Double Submit Cookie 的实现原理。
前端如何使用。
- form 表单渲染时要渲染 ctoken。
- ajax 请求需要带上请求头。
- ajax 请求发现没有 ctoken 时，可以自己设置一个。
如何扩展到对同一个主域的 jsonp 请求进行防范。

exports.jsonpAPI = function*() {
  // 手动校验 ctoken，前提是同域有 cookie
  this.assertsCSRF();
  yield this.service.user.create(this.request.body);
  this.jsonp = { success: true };
}

egg-security

Source

dead-horse

Most helpful comment

方案不一样，是走header的不走cookie，确实比较重，不过是有标准和规范的，认同先使用ctoken做ajax防范

jtyjty99999 on 16 Jan 2017

👍3

All 13 comments

为什么对 ajax 请求也需要校验 csrf：

用户一旦错误的使用 cros，会暴露被跨站攻击的风险。例如 kcors 的默认配置。
如果有用户错误的解 body（或者完成这个请求根本不依赖于 body 的参数），也可能被攻击。 https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-protection-and-json

dead-horse on 15 Jan 2017

再提一个技术方案 https://jwt.io/ 通过约定header的

jtyjty99999 on 16 Jan 2017

好处：