AJAX风格的应用程序中的XSRF保护

发布时间：2020-12-16 01:36:14 所属栏目：百科来源：网络整理

导读：我们目前正在开发一个完全基于 AJAX的应用程序,它将通过RESTful API与服务器进行交互.我已经考虑过防范针对API的XSRF攻击的潜在方案. 用户验证并接收会话cookie,也是每次请求双重提交. 我们在中实施OAuth使用者 Javascript,检索令牌时用户登录并签名请求

我们目前正在开发一个完全基于 AJAX的应用程序,它将通过RESTful API与服务器进行交互.我已经考虑过防范针对API的XSRF攻击的潜在方案.

>用户验证并接收
会话cookie,也是
每次请求双重提交.
>我们在中实施OAuth使用者
Javascript,检索令牌时
用户登录并签名
请求带有该令牌.

我倾向于OAuth方法,主要是因为我想提供第三方访问我们的API,而不是必须实现两种身份验证方案.

有没有理由说OAuth消费者在这种情况下无法工作？

大多数AJAX库将设置一个额外的标题“X-Requested-With：XMLHttpRequest”,这在基本的XSRF攻击中很难伪造(尽管如果与XSS结合可能).如果您希望所有请求都是AJAX,那么验证此标头是否存在是一个很好的纵深防御策略.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!