CSRF攻撃 - 同じページでのGETとPOSTリクエスト

Question

1つのWebアプリケーションには削除ボタンがあります。そのWebアプリケーションをクリックすると、GETリクエストが最初に実行され、トークンキー付きのPOSTフォームが返されます。 はいまたはいいえを選択すると、リソースが削除されます。

CSRF攻撃に対してこれをどのように達成できますか？ iframeに隠された最初のリクエストを送信できますが、2番目のPOSTリクエストを送信するにはそのトークンが必要です。

CORSのためにAjaxが失敗します。

だから、1ページ

1. 送信GETリクエスト
2. 解析応答とトークン
3. はCSRFをトリガするためにトークンをPOSTフォームを送信得る上でも可能です

Answer 1

私はこれがあると思います基本的にはCSRFに対する標準的な保護であり、トークンはページ生成時に生成され（GET）、アプリケーション状態を実際に変更するサブミット時（POST）に検証されます（ケース内のオブジェクトを削除します） 。だから概念的にはそれは私によく見えます。

悪魔は詳細ですが。トークンはどのように生成されますか（どのアルゴリズムやランダムジェネレータが使用され、どれだけのエントロピーがあるか）、どのように検証されますか？それはどこかに保存されていますかステートレスですか？いつ新しいトークンを生成しますか？古いトークンをいつ再利用しますか？これらは、CSRFから保護する際に常に考慮しなければならないいくつかの質問です。

あなたのシナリオには、確認ページに何が行われるかという詳細がすべて含まれているかどうかという点があります。シンプルな "あなたは確かですか？"私は思うあなたのケースでは適切ではないでしょう。