DEV Community
·
构建您自己的HMAC签名双提交CSRF
💡
原文英文,约1000词,阅读约需4分钟。
📝
内容提要
Express应用程序应采用无状态的HMAC签名双提交模式作为新的CSRF防护方法。该模式不依赖会话存储,易于测试,适合微服务架构。通过生成和验证令牌,确保安全性并灵活适应不同框架。
🎯
关键要点
- Express应用程序应采用无状态的HMAC签名双提交模式作为新的CSRF防护方法。
- 该模式不依赖会话存储,适合微服务架构。
- HMAC签名确保安全性,灵活适应不同框架。
- CSRF攻击是通过伪造请求来利用已认证用户的浏览器。
- 两种常见的CSRF防护模式:同步令牌和双提交Cookie。
- 双提交Cookie模式是无状态的,不需要共享会话存储。
- 设计目标包括无状态、纯函数、可组合中间件和安全性。
- 核心功能包括生成随机令牌、签名令牌和验证令牌。
- 中间件工厂创建两个Express中间件:attachToken和verifyToken。
- attachToken在安全方法上运行,发出新的捆绑令牌Cookie。
- verifyToken在变更方法上运行,检查Cookie与请求头/请求体的匹配。
- Express应用程序需要设置CORS以允许前端接收和发送Cookie。
- 前端需要读取服务器设置的Cookie并在请求中回显。
- HMAC双提交模式比csurf更具优势,支持无状态、易于测试和微服务架构。
❓
延伸问答
什么是HMAC签名双提交模式?
HMAC签名双提交模式是一种无状态的CSRF防护方法,通过生成和验证令牌来确保安全性,适合微服务架构。
HMAC双提交模式与传统的CSRF防护方法有什么不同?
HMAC双提交模式是无状态的,不需要共享会话存储,而传统的CSRF防护方法如同步令牌依赖于会话存储。
如何在Express应用中实现HMAC双提交CSRF防护?
在Express应用中,可以使用attachToken和verifyToken中间件来实现HMAC双提交CSRF防护,分别用于生成和验证令牌。
HMAC签名在CSRF防护中起什么作用?
HMAC签名用于确保令牌的完整性和安全性,防止攻击者伪造令牌。
使用HMAC双提交模式的主要优势是什么?
主要优势包括无状态性、易于测试、适合微服务架构以及灵活适应不同框架。
在前端如何处理CSRF令牌?
前端需要读取服务器设置的CSRF令牌Cookie,并在请求中将其回显到请求头中。
➡️
