[[171798]]

背景

1、什么是CSRF攻擊?

這里不再介紹CSRF，已經(jīng)了解CSRF原理的同學(xué)可以直接跳到：“3、前后端分離下有何不同?”。

不太了解的同學(xué)可以看這兩篇對CSRF介紹比較詳細(xì)的參考文章：

• CSRF 攻擊的應(yīng)對之道
• 淺談CSRF攻擊方式

如果來不及了解CSRF的原理，可以這么理解：有一個(gè)人發(fā)給你一個(gè)搞(mei)笑(nv)圖片鏈接，你打開這個(gè)鏈接之后，便立刻收到了短信：你的銀行里的錢已經(jīng)轉(zhuǎn)移到這個(gè)人的帳戶了。

2、有哪些防御方案?

上面這個(gè)例子當(dāng)然有點(diǎn)危言聳聽，當(dāng)然可以確定的是確實(shí)會(huì)有這樣的漏洞：你打開了一個(gè)未知域名的鏈接，然后你就自動(dòng)發(fā)了條廣告帖子、你的Gmail的郵件內(nèi)容就泄露了、你的百度登錄狀態(tài)就沒了……

防御方案在上面的兩篇文章里也有提到，總結(jié)下，無外乎三種：

• 用戶操作限制，比如驗(yàn)證碼;
• 請求來源限制，比如限制HTTP Referer才能完成操作;
• token驗(yàn)證機(jī)制，比如請求數(shù)據(jù)字段中添加一個(gè)token，響應(yīng)請求時(shí)校驗(yàn)其有效性;

第一種方案明顯嚴(yán)重影響了用戶體驗(yàn)，而且還有額外的開發(fā)成本;第二種方案成本最低，但是并不能保證100%安全，而且很有可能會(huì)埋坑;第三種方案，可取!

token驗(yàn)證的CSRF防御機(jī)制是公認(rèn)最合適的方案，也是本文討論的重點(diǎn)。

3、前后端分離下有何不同?

《CSRF 攻擊的應(yīng)對之道》這篇文章里有提到：

要把所有請求都改為 XMLHttpRequest 請求，這樣幾乎是要重寫整個(gè)網(wǎng)站，這代價(jià)無疑是不能接受的

我們前端架構(gòu)早已經(jīng)告別了服務(wù)端語言(PHP/JAVA等)綁定路由、攜帶數(shù)據(jù)渲染模板引擎的方式(畢竟是2011年的文章了，我們笑而不語)。

當(dāng)然， 前端不要高興的太早：前后端分離之后，Nodejs不具備完善的服務(wù)端SESSION、數(shù)據(jù)庫等功能。

總結(jié)一下，在“更先進(jìn)”的前端架構(gòu)下，與以往的架構(gòu)會(huì)有一些區(qū)別：

• Nodejs層不處理SESSION，無法直接實(shí)現(xiàn)會(huì)話狀態(tài)數(shù)據(jù)保存;
• 所有的數(shù)據(jù)通過Ajax異步獲取，可以靈活實(shí)現(xiàn)token方案;

實(shí)現(xiàn)思路

如上文提到，這里僅僅討論在“更先進(jìn)”的前端后端架構(gòu)背景下的token防御方案的實(shí)現(xiàn)。

1、可行性方案

token防御的整體思路是：

• 第一步：后端隨機(jī)產(chǎn)生一個(gè)token，把這個(gè)token保存在SESSION狀態(tài)中;同時(shí)，后端把這個(gè)token交給前端頁面;
• 第二步：下次前端需要發(fā)起請求(比如發(fā)帖)的時(shí)候把這個(gè)token加入到請求數(shù)據(jù)或者頭信息中，一起傳給后端;
• 第三步：后端校驗(yàn)前端請求帶過來的token和SESSION里的token是否一致;

上文提到過，前后端分離狀態(tài)下，Nodejs是不具備SESSION功能的。那這種token防御機(jī)制是不是就無法實(shí)現(xiàn)了呢?

肯定不是。我們可以借助cookie把這個(gè)流程升級下：

• 第一步：后端隨機(jī)產(chǎn)生一個(gè)token，基于這個(gè)token通過SHA-56等散列算法生成一個(gè)密文;
• 第二步：后端將這個(gè)token和生成的密文都設(shè)置為cookie，返回給前端;
• 第三步：前端需要發(fā)起請求的時(shí)候，從cookie中獲取token，把這個(gè)token加入到請求數(shù)據(jù)或者頭信息中，一起傳給后端;
• 第四步：后端校驗(yàn)cookie中的密文，以及前端請求帶過來的token，進(jìn)行正向散列驗(yàn)證;

當(dāng)然這樣實(shí)現(xiàn)也有需要注意的：

• 散列算法都是需要計(jì)算的，這里會(huì)有性能風(fēng)險(xiǎn);
• token參數(shù)必須由前端處理之后交給后端，而不能直接通過cookie;
• cookie更臃腫，會(huì)不可避免地讓頭信息更重;

現(xiàn)在方案確定了，具體該如何實(shí)現(xiàn)呢?

2、具體實(shí)現(xiàn)

我們的技術(shù)棧是 koa(服務(wù)端) + Vue.js(前端) 。有興趣可以看這些資料：

• 趣店前端團(tuán)隊(duì)基于koajs的前后端分離實(shí)踐
• koa-grace——基于koa的標(biāo)準(zhǔn)前后端分離框架
• grace-vue-webpack-boilerplate

在服務(wù)端，實(shí)現(xiàn)了一個(gè)token生成的中間件，koa-grace-csrf：

// 注意：代碼有做精簡 
  
 const tokens = require('./lib/tokens'); 
 return function* csrf(next) { 
   let curSecret = this.cookies.get('密文的cookie'); 
   // 其他如果要獲取參數(shù)，則為配置參數(shù)值 
   let curToken = '請求http頭信息中的token'; 
    
   // token不存在 
   if (!curToken || !curSecret) { 
     return this.throw('CSRF Token Not Found!',403) 
   } 
 
   // token校驗(yàn)失敗 
   if (!tokens.verify(curSecret, curToken)) { 
     return this.throw('CSRF token Invalid!',403) 
   } 
 
   yield next; 
 
   // 無論何種情況都種兩個(gè)cookie 
   // cookie_key: 當(dāng)前token的cookie_key,httpOnly 
   let secret = tokens.secretSync(); 
   this.cookies.set(options.cookie_key, secret); 
   // cookie_token: 當(dāng)前token的的content，不需要httpOnly 
   let newToken = tokens.create(secret); 
   this.cookies.set(options.cookie_token, newToken) 
 }  

在前端代碼中，對發(fā)送ajax請求的封裝稍作優(yōu)化： 

this.$http.post(url, data, { 
      headers: { 
          'http請求頭信息字段名': 'cookie中的token' 
      } 
  }).then((res) => {})  

總結(jié)一下：

• Nodejs生成一個(gè)隨機(jī)數(shù)，通過隨機(jī)數(shù)生成散列密文;并將隨機(jī)數(shù)和密文存到cookie;
• 客戶端JS獲取cookie中的隨機(jī)數(shù)，通過http頭信息交給Nodejs;
• Nodejs響應(yīng)請求，校驗(yàn)cookie中的密文和頭信息中的隨機(jī)數(shù)是否匹配;

這里依舊有個(gè)細(xì)節(jié)值得提一下：Nodejs的上層一般是nginx，而nginx默認(rèn)會(huì)過濾頭信息中不合法的字段(比如頭信息字段名包含“_”的)，這里在寫頭信息的時(shí)候需要注意。

上文也提到，通過cookie及http頭信息傳遞加密token會(huì)有很多弊端;有沒有更優(yōu)雅的實(shí)現(xiàn)方案呢?

3、更優(yōu)雅的架構(gòu)

首先，我們明確前后端分離的一些基本原則：

后端(Java / PHP )職責(zé)：

• 服務(wù)層顆?；涌冢员闱岸薔odejs層異步并發(fā)調(diào)用;
• 用戶狀態(tài)保存，實(shí)現(xiàn)用戶權(quán)限等各種功能;

前端(Nodejs + Javascript)職責(zé)：

• Nodejs層完成路由托管及模板引擎渲染功能
• Nodejs層不負(fù)責(zé)實(shí)現(xiàn)任何SESSION和數(shù)據(jù)庫功能

我們提到，前端Nodejs層不負(fù)責(zé)實(shí)現(xiàn)任何SESSION和數(shù)據(jù)庫功能，但有沒有可能把后端緩存系統(tǒng)做成公共服務(wù)提供給Nodejs層使用呢?想想感覺前端整條路都亮了有木有?!這里先挖一個(gè)坑，后續(xù)慢慢填。

4、延伸

這里再順便提一下，新架構(gòu)下的XSS防御。

猶記得，在狼廠使用PHP的年代，經(jīng)常被安全部門曝出各類XSS漏洞，然后就在smaty里添加各種escape濾鏡，但是添加之后發(fā)現(xiàn)竟然把原始數(shù)據(jù)也給轉(zhuǎn)義了。

當(dāng)然，現(xiàn)在更多要?dú)w功于各種MVVM單頁面應(yīng)用：使得前端完全不需要通過讀取URL中的參數(shù)來控制VIEW。

不過，還有一點(diǎn)值得一提：前后端分離框架下，路由由Nodejs控制;我自己要獲取的后端參數(shù)和需要用在業(yè)務(wù)邏輯的參數(shù)，在主觀上前端同學(xué)更好把握一些。

所以， 在koa(服務(wù)端) + Vue.js(前端)架構(gòu)下基本不用顧慮XSS問題(至少不會(huì)被全安組追著問XSS漏洞啥時(shí)候修復(fù))。

總結(jié)

要不學(xué)PHP、看Java、玩Python做全棧好了?