¿Cómo proteger el token CSRF?

0

En mi pregunta anterior , John Wu me recomendó usar un token CSRF por sesión, y me dijo que hiciera otra pregunta sobre cómo proteger el token CSRF.

¿Cómo puedo proteger un token CSRF que es un tipo de sesión uno, para que no pueda ser robado por un atacante?

    
pregunta googol8080 20.09.2016 - 06:02
fuente

1 respuesta

2

Es poco lo que puede o debe hacer para proteger el token CSRF. Quizás haya más, pero solo puedo pensar en cuatro cosas:

  • No lo coloque en un parámetro de URL donde se registrará en todo tipo de lugares.
  • Si solo está sirviendo su sitio a través de HTTPS, marque todas las cookies involucradas como seguras.
  • Invalide el token tanto del lado del cliente (a través de la configuración de cookies) como del lado del servidor para que no se puedan usar los tokens antiguos.
  • Tenga cuidado con CORS para que no pueda hacer accidentalmente algo que contenga el token disponible desde otro origen.

Y luego está el problema de XSS. Si eres vulnerable a eso, podría usarse para robar el token CSRF, ya que no puede ser solo de HTTP. No hay nada que pueda hacer al respecto, aparte de asegurarse de que no sea vulnerable a XSS. Utilice CSP , desinfecte sus comentarios con una buena biblioteca, escanee su sitio, etc. etc.

Sin embargo, si tiene problemas de XSS, tiene problemas más grandes que el token CSRF que se está robando.

    
respondido por el Anders 20.09.2016 - 09:32
fuente

Lea otras preguntas en las etiquetas