如何解决CSRF 令牌流验证
我是安全方面的新手,所以我想与您核实一下我的实施是否良好。假设我想实现一个针对 CSRF 攻击的安全流程。作为后端服务,我在客户端使用 .net core 和 Angular。流程如下:
- 后端服务器生成 csrf 令牌并将其保存到 cookie 中;
- 当客户端应用程序执行需要在服务器端修改数据的 HTTP 操作时,例如 (PUT/POST/DELETE),我从 cookie 会话中读取 csrf 令牌并将其附加到请求的 Headers 部分并发送抛出后端;
- 后端接收请求,提取包含 csrf 令牌的 Header,并将该令牌与 cookie 会话中存储的令牌进行比较。如果匹配,则请求有效,如果不匹配,则使用状态代码 401 阻止请求。
我认为需要提及的重要事项是:我使用 HTTPS 协议,并且对于 cookie,属性 SameSite=Strict、Secure=true。
提前致谢。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
