25
私は基本的な.ajax()POSTメソッドをPHPファイルに持っています。jQueryの.ajax()にCSRFトークンが必要ですか?
どのようなセキュリティ対策が必要ですか?
AJAX経由で送信し、PHPファイルで確認する非表示のMD5入力フィールドを使用して、いくつかのポストが書かれていました。これは十分な方法ですか?
A
答えて
34
CSRFのリスクは、外部サイトがあなたにデータを送信し、ユーザーのブラウザが自動的に認証クッキーを送信することです。
外部サイトではなく、サイトの別のページからリクエストが送信されたかどうかを確認するために、受信アクション(あなたの$.ajax()メソッドがPOSTデータを送信する)に何らかの方法が必要です。
これにはいくつかの方法がありますが、確認できるトークンとハッカーが到達できないトークンを追加することをお勧めします。その最も単純で
:
- トークン長いランダムな文字列を作成し、ユーザーに対してそれを保存するにログオンします。
- トークンを含む要求を
$.ajax()要求に追加します。 - 要求に応じて、トークンがユーザー用に保存したものと一致することを確認します。
- トークンが一致しない場合は、CSRFハックがあります。
ハッカーはあなたのDBにアクセスできず、実際にはあなたがあなたに送信したページを読むことができません(XSS攻撃を受けない限り、別の問題です)。トークン。
トークンで重要なのは、あなたがを予測(および検証)することができますということで、それとハッカーがことができません。
この理由から、長いランダムなものを生成してDBに格納するのが最も簡単ですが、代わりに暗号化されたものを構築することができます。 CSRの攻撃者があなたのトークンを生成する方法を見つけたら、あなたはハッキングされるでしょう。
もう1つの方法は、攻撃者があなたのクッキーを読んだり変更したりすることができないので、トークンを(データベースではなく)クッキーに保存することです。次に、Cookie内のHTTP POSTデータに一致するトークンになります。
これらは、正常に使用されるたびに変更されるトークン(再送信を防止する)や、ユーザーとアクションに固有のトークンなど、より洗練されたものにすることができますが、それが基本パターンです。
2
要求偽装に関しては、クライアントがどのように要求を送信したかは関係ありません。他のタイプの投稿と同じCSRFルールがajax投稿に適用されます。
私はCSRF prevention cheat sheetを読むことをお勧めします。ユーザーごとのシークレットトークンを使用するのが最も一般的な保護方法です。
+2
かなり一般的にも、最初の使用後に、特定のユーザーや障害のために取得し、要求ごとのワンタイムトークン、です。 – Tadeck
+2
@タデックそのアプローチは、CSRFよりもダブルサブミットを防ぐのにより有効です。 – rook
+2
[参照したソース](https://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet)に記載されているように、ワンタイムトークンは、リスクの高い機能で非常に強力なセキュリティが使用されます。これは、「CSRF_よりも二重提出を防ぐのに有益です」とは反対に、CSRFに対してあなたの申請を保護するより厳しい方法です。 – Tadeck
0
トークンは必要ありませんが、CSRFに対して状態を変更する機能は保護する必要があります。
これを行う簡単な方法の1つは、AJAXリクエストとともに送信されるヘッダーを追加することです。ランダムなトークンは必要ありません。
ので、これは動作します:HTMLフォームは、攻撃者によってそれらに追加カスタムヘッダーを持つことができません
- 。
- CORSを有効にしないと、カスタムヘッダーをクロスドメインに渡すことはできません。
もちろん、サーバー側のコードでは、アクションを実行する前にヘッダーが存在することを確認する必要があります。
関連する問題
- 1. ログオフ要求にXSRF/CSRFトークンが必要ですか?
- 2. ajaxのCSRFトークン
- 3. ajaxリクエストのCSRFトークン
- 4. Yii2 - Ajax CSRFトークン:予期しないトークン " - "
- 5. AJAX(jQueryなし)でDjango csrfトークンを渡す方法
- 6. 要求ごとにcsrfトークンを含める必要がありますか?
- 7. csrfトークンfor ajax codeigniterでデータをシリアライズ
- 8. AJAXポストコールにCSRFトークンを含める
- 9. AJAX GETメソッドによるCSRFトークン保護
- 10. expressjsでAJAXリクエスト(Jqueryなし)でcsrfトークンを送信するには?
- 11. CSRFトークンがないか間違っていますAJAX/DJANGO
- 12. Alamofire要求パラメータにCSRFトークンを渡す
- 13. csurf AJAXコール - 無効なCSRFトークン
- 14. CSRFトークンがLaravel 5.1で動作しない例外Ajax要求を伴うハンドラ
- 15. サーバ側でanti-XSRF/CSRFトークンを生成する必要はありますか?
- 16. JQuery AJAXで一般的なCSRFトークンを実装する方法は?
- 17. CSRFトークンが無効
- 18. Cakephp 3でajax呼び出しでCSRFトークンを定義する方法。また、いくつかのajax要求でCSRFをオフにする方法
- 19. ':'の前に '。'が必要ですトークン
- 20. Django 1.9 AJAXフォームCSRFトークン403エラー - 「CSRFクッキーが設定されていません」
- 21. フォームのAJAXポストリクエストでCSRFトークンを渡す方法は?
- 22. djangoのajaxポストリクエストでcsrfトークンが見つかりませんでした。
- 23. HTMLとAJAXのJquery Carousel [スライダーアニメーション]が必要
- 24. Jquery/Ajax/HTMLの補助が必要
- 25. セッションクッキーを使用するときにcsrfトークンが必要なのはなぜですか?
- 26. laravel 5.4 - ソケットioはlaravelサーバーにajaxを送信するにはcsrfトークンが必要ですが、どうすれば入手できますか?
- 27. CSRFトークン - 2つの要求=失敗?
- 28. ajaxでイベントを渡して、csrfトークンで表示する投稿
- 29. ブラウザエクステンションからのCSRFトークン
- 30. スプリングセキュリティCSRFトークンがAJAXと連携しない
[同一出身のポリシー](https://en.wikipedia.org/wiki/Same-origin_policy)がそのような行為を防止するが、ユーザは別のウェブサイトからのAJAXリクエストをどのように投稿することができますか? – Songo
@Songo残念なことに、すべてのブラウザでサポートされているわけではありません。プロキシの多くはヘッダーを取り除き、それも破ります。最後に、起源の外からPOSTすることができます。そのため、AJAXに意図しているにもかかわらず、攻撃者を意味するものではありません。基本的には、同じ起源のポリシーを持っているべきですが、うまく動作するブラウザに依存しているので、それに頼るべきではありません。 CSRFトークンを使用すると、同じ起源が迂回されても検証できるものが得られます。 – Keith
@Songo Chromeの最新バージョンでも、GETリクエスト(つまり、ウェブページ上で ''![]()
''タグ)を実行することはできますが、動作します。 @Keithブラウザはすべてのリクエストに対してCookieを自動的にWebページに送信するため、Cookieを信頼しません。攻撃者がiFrameまたはフォームを送信すると、自動的にCookieが送信されます。 –
arleslie