Можете ли вы предотвратить XSRF, включив ключ сеанса в параметры всех запросов POST?

Question

Будет ли эта идея работать? Это выглядит довольно глупо, потому что мое приложение просто проверяет, что браузер отправил две копии одной и той же информации (то есть ключ сеанса).

Кроме того, помнить, что эта проверка звучит очень скучно. Есть ли в веб-фреймворках, таких как Rails и CakePHP, вещи, облегчающие написание веб-приложений, защищенных от XSRF?

Answer 1

Предполагая, что сеансовый ключ не утек (что может произойти, если ваш PHP плохо сконфигурирован и использует session.use_trans_sid) и вы не уязвимы для атак фиксации сеанса, да, это безопасно. Это потому, что фальсификатор запросов не может прочитать ваши куки и, следовательно, не знает, каково правильное значение.

Возможно, вас заинтересует CSRF Magic , в котором утверждается, что вы можете защитить свое приложение, включив один файл.