csrf - 什么是 CSRF 代币？它的重要性是什么？它是如何运作的？

Question

我正在编写一个应用程序(Django，确实如此)，我只想了解“CSRF token ”实际上是什么以及它如何保护数据。

如果不使用CSRF token ，发布数据不安全吗？

Answer 1

简单来说跨站请求伪造 (CSRF)

• 假设您当前已通过 www.mybank.com 登录网上银行
• 假设从 mybank.com 进行转账将产生(概念上)http://www.mybank.com/transfer?to=<SomeAccountnumber>;amount=<SomeAmount> 形式的请求。 (不需要您的帐号，因为您的登录暗示了它。)
• 您访问 www.cute-cat-pictures.org 时并不知道它是一个恶意网站。
• 如果该网站的所有者知道上述请求的形式(简单!)并正确猜测您已登录 mybank.com(需要一些运气!)，他们可以在其页面上包含类似 http://www.mybank.com/transfer?to=123456;amount=10000 的请求(其中 123456 是他们的开曼群岛帐户号码和 10000 是您之前很高兴拥有的金额)。
• 您检索了 www.cute-cat-pictures.org 页面，因此您的浏览器将发出该请求。
• 您的银行无法识别该请求的来源:您的网络浏览器将发送该请求以及您的 www.mybank.com cookie，它看起来完全合法。你的钱不见了!

这是没有 CSRF 代币的世界。

现在使用 CSRF token 来实现更好的:

• 传输请求使用第三个参数进行扩展:http://www.mybank.com/transfer?to=123456;amount=10000;token=31415926535897932384626433832795028841971。
• 该 token 是一个巨大的、无法猜测的随机数，mybank.com 在向您提供该 token 时会将其包含在自己的网页上。每次他们向任何人提供任何页面时，情况都是不同的。
• 攻击者无法猜测 token ，无法说服您的网络浏览器交出它(如果浏览器工作正常......)，因此攻击者将无法创建有效的请求，因为带有错误 token (或没有 token )的请求将被 www.mybank.com 拒绝。

结果:您保留 10000 货币单位。

(您的里程可能会有所不同。)

comment worth reading 编辑 SOFe:

It would be worthy to note that script from www.cute-cat-pictures.org normally does not have access to your anti-CSRF token from www.mybank.com because of HTTP access control. This note is important for some people who unreasonably send a header Access-Control-Allow-Origin: * for every website response without knowing what it is for, just because they can't use the API from another website.