谈谈SPA的CSRF问题

本文示例基于Vue.js + Egg.js 代码参考csrf

目录

示例

首先 我们通过如下示例来看一下SPA(单页面应用)的CSRF攻击

服务

cnpm i -g egg-init

egg-init --type=simple saas-server

cd saas-server && cnpm i

cnpm run dev

vim app/router.js

'use strict';

let count = 0;

module.exports = app => {
  const { router } = app;
  router.post('/login', async ctx => {
    ctx.session.user = 'user';
    ctx.body = { message: 'login success' };
    ctx.status = 200;
  });
  router.post('/count', async (ctx, next) => {
    if (!ctx.session.user) {
      ctx.body = { message: 'need login' };
      ctx.status = 403;
      return;
    }
    await next();
  }, async ctx => {
    ctx.body = { message: 'count ' + count++ };
    ctx.status = 200;
  });
};


vim config/config.default.js

'use strict';

module.exports = appInfo => {
  const config = exports = {};

  config.keys = appInfo.name + '_1533543342201_7043';

  config.middleware = [];

  config.security = {
    csrf: {
      enable: false,
    },
  };

  return config;
};
  • 测试
curl -X POST localhost:7001/count # {"message":"need login"}

curl -c cookies -X POST localhost:7001/login # {"message":"login success"}

curl -b cookies -X POST localhost:7001/count # {"message":"count 0"}

跨域

cnpm i --save egg-cors

vim config/plugin.js

'use strict';

exports.cors = {
  enable: true,
  package: 'egg-cors',
};


vim config/config.default.js

'use strict';

module.exports = appInfo => {
  const config = exports = {};

  config.keys = appInfo.name + '_1533543342201_7043';

  config.middleware = [];

  config.security = {
    csrf: {
      enable: false,
    },
  };

  config.cors = {
    credentials: true,
    origin: 'http://localhost:8080',
    allowMethods: 'HEAD,OPTIONS,GET,PUT,POST,DELETE,PATCH',
  };

  return config;
};

前端

cnpm i -g @vue/cli

vue create saas-client

cd saas-client

yarn serve

vim src/App.vue

<template>
    <div id="app">
        <div>
            <button v-on:click="login">登录</button>
            <a>{{message1}}</a>
        </div>
        <div>
            <button v-on:click="count">计数</button>
            <a>{{message2}}</a>
        </div>
    </div>
</template>

<script>
export default {
    name: 'app',
    data() {
        return {
            message1: '',
            message2: '',
        }
    },
    methods: {
        login() {
            fetch('http://localhost:7001/login', { method: 'POST', credentials: 'include' })
                .then(res => {
                    return res.json();
                }).then(json => {
                    this.message1 = json;
                }).catch(error => {
                    this.message1 = error;
                });
        },
        count() {
            fetch('http://localhost:7001/count', { method: 'POST', credentials: 'include' })
                .then(res => {
                    return res.json();
                }).then(json => {
                    this.message2 = json;
                }).catch(error => {
                    this.message2 = error;
                });
        },
    }
}
</script>

<style>
</style>
  • 测试

使用浏览器打开http://localhost:8080

点击"登录"和"计数"按钮后 效果如下

spa-csrf-01.png

攻击

vue create csrf-client

cd csrf-client

yarn serve

vim src/App.vue

<template>
    <div id="app">
        <form action="http://localhost:7001/count" method="POST">
            <input type="submit" value="点击中大奖">
        </form>
    </div>
</template>

<script>
export default {
    name: 'app',
}
</script>

<style>
</style>
  • 测试

使用浏览器打开http://localhost:8081

点击"点击中大奖"按钮后 效果如下

spa-csrf-02.png
spa-csrf-03.png

使用浏览器打开http://localhost:8080

点击"计数"按钮后 效果如下

spa-csrf-04.png

小结

通过上述示例 我们知道想要成功进行CSRF攻击有如下两个条件

  • 条件1: 绕过浏览器跨域限制 例如: 上述<form>标签 详见Laravel框架 之 CSRF

  • 条件2: 基于cookie存储的session鉴权 AJAX请求会自动带上cookie导致鉴权通过

对于前后端未分离的项目

  • 条件1 无法回避

  • 条件2 可以在<form>或<meta>添加隐藏的csrf-token来保证请求的有效性 详见CSRF 保护

而对于前后端分离的项目

  • 条件1: 同样无法回避

  • 条件2: 可以通过使用除cookie外的其他浏览器存储 例如: sessionStorage或localStorage

因此 对于前后端分离的SPA应用 推荐使用基于非cookie存储的token鉴权 详见JWT入门Laravel框架 之 Passport

问题

将token存储于sessionStorage或localStorage中 会引起共享问题

例如 cookie的域名为".yourdomain.com" 那么"yourdomain.com"和"app.yourdomain.com"都可以访问该cookie

但是 存储于sessionStorage或localStorage中的token却不能在不同域名(甚至subdomain)中共享

因此

  • 可以将token存储于域名为".yourdomain.com"的cookie中

并且

  • 此时的cookie只做存储而非鉴权 即服务端并不依赖request中的cookie进行权限校验

参考

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • 20171101感恩分享G174期8组金巧琴
    小确幸/感恩:昨晚陪萌读书,发现孩子成语接龙前100个成语中大部分会背了,而且好几个成语能接上两个成语:如:用舍行...
    书琴001阅读 167评论 0 0
  • 感恩的意义
    尊敬的老师们,全天下最爱学习最有能量的伙伴们:大家现在好!我是你们最值得信赖的朋友忠伟姐姐。通过这几天的学习和交流...
    小忠伟阅读 416评论 0 5
  • 绘本悦读记录第4本《鸡蛋哥哥》
    关于鸡蛋哥哥的介绍 他不在意弟弟比他大 因为呆在鸡蛋里好玩的事很多 比如 可以躲在各种地方捉迷藏(看到鸡蛋哥哥躲在...
    秀琴sukin阅读 1,973评论 0 2