CSRF Token实现原理与防护机制（进阶篇）

1. 问题描述
CSRF（跨站请求伪造）是一种攻击技术，攻击者诱骗用户在已登录的状态下执行非预期的操作（如转账、修改密码）。CSRF Token是防御该攻击的核心机制，通过在请求中嵌入随机令牌，验证请求的合法性。进阶篇将深入探讨Token的生成、存储、验证逻辑及常见绕过手法。

2. CSRF Token的核心原理

• 令牌生成：服务器为每个用户会话生成一个随机、不可预测的Token（如使用加密安全的随机数生成器）。
• 令牌绑定：Token需与用户会话或特定请求关联，例如：
  • 存储在服务端Session中，并随表单返回给客户端（如隐藏字段<input type="hidden" name="csrf_token" value="随机值">）。
  • 通过Cookie发送给客户端，但要求客户端脚本从Cookie读取并添加到请求头（如X-CSRF-Token）。
• 令牌验证：服务器收到请求后，比较请求中的Token（如表单字段或请求头）与服务端存储的Token，拒绝不匹配的请求。

3. 进阶实现细节与防护策略

• 双重提交Cookie模式：
  • 将Token同时设置在Cookie和请求参数/头中，服务器验证两者是否一致。此方法无需服务端存储Token，但需确保Cookie作用域严格（SameSite属性）且Token随机。
• 同源策略补充：
  • 结合SameSite Cookie（Strict/Lax模式）阻止跨站请求携带Cookie，但需注意与第三方集成的兼容性。
• Token按请求动态更新：
  • 每次请求后刷新Token，防止重放攻击，但需考虑多标签页操作的并发问题（如使用Token池或主从Token机制）。
• 关键操作增强验证：
  • 对敏感操作（如转账）要求二次认证（密码、OTP），即使Token泄露也能降低风险。

4. 常见绕过手法与应对

• Token泄露途径：
  • 通过XSS漏洞窃取Token：需结合CSP和输入输出编码防御XSS。
  • 网络嗅探或中间人攻击：强制使用HTTPS并部署HSTS。
• 验证逻辑缺陷：
  • 验证时未检查Token是否存在：确保缺失Token时直接拒绝请求。
  • Token与会话绑定不严：避免将Token用于多个会话或用户。
• Cookie覆盖攻击：
  • 攻击者诱导用户携带恶意Token的Cookie：设置Cookie的HttpOnly和SameSite属性。

5. 实战示例：Token验证代码逻辑

from flask import Flask, session, request, abort  
import secrets  

app = Flask(__name__)  
app.secret_key = 'your_secret_key'  

# 生成并存储Token  
def generate_csrf_token():  
    if 'csrf_token' not in session:  
        session['csrf_token'] = secrets.token_hex(16)  
    return session['csrf_token']  

# 验证Token  
def validate_csrf_token():  
    token = request.form.get('csrf_token') or request.headers.get('X-CSRF-Token')  
    if not token or token != session.get('csrf_token'):  
        abort(403)  # 验证失败  

@app.route('/transfer', methods=['POST'])  
def transfer_money():  
    validate_csrf_token()  
    # 执行转账逻辑  
    return "操作成功"  

6. 总结
CSRF Token的有效性依赖于其不可预测性、与会话的严格绑定及完备的验证逻辑。进阶防护需结合SameSite Cookie、动态Token更新及二次认证，并警惕XSS等漏洞导致的Token泄露。