CSRF защита с помощью JavaScript?

Question

Могу ли я защитить от CSRF путем создания клиентской стороны токена csrf с использованием javascript и установки cookie-файла javascript с помощью этого токена и добавления этого токена в запрос на публикацию?

на стороне сервера: проверьте cookie [токен] === пост [токен]

Answer 1

Нет, что мешает атакующему сделать то же самое?Сервер должен иметь один из учетных данных.

Answer 2

Если вы используете PHP с JavaScript, то, возможно, есть способ защитить его, взгляните на OWASP CSRFGuard Project , но я не углубился в это, просто нашел это

проект, реализующий решение в стиле CSRFGuard для PHP и JavaScript.

Но на самом деле, я не знаю, является ли это безопасной реализацией или нет ...

Я знаю, что некоторые люди в OWASP работают над подготовкой ESAPI для JavaScript (об этом говорит Крис Шмидт в этом видео ), но я не знаю, как далеко они сейчас , посмотрите на esapi.org

Answer 3

Я не верю, что это сработает. Злоумышленник может просто скопировать ваш алгоритм генерации токена и отправить действительное значение. Вы хотите установить значение на сервере и убедиться, что это значение не может быть изменено.