为啥codeigniter2不以更安全的方式存储csrf_hash，比如session？

Posted 2023-03-10

【中文标题】为啥codeigniter2不以更安全的方式存储csrf_hash，比如session？

【英文标题】：Why codeigniter2 doesn't store the csrf_hash in a more secure way, such as session?为什么codeigniter2不以更安全的方式存储csrf_hash，比如session？

【发布时间】：2012-02-05 13:16:49

【问题描述】：

为什么生成的 CSRF 保护令牌没有像建议的 here 那样通过 SESSION 保存和使用？目前在CI2中，CSRF保护机制（在Security类中）是这样的：

1.在_csrf_set_hash()函数中为CSRF令牌生成一个唯一值：

$this->csrf_hash = md5(uniqid(rand(), TRUE));

2.将该标记插入表单隐藏字段（使用 form_open 助手）

3. 用户提交表单，服务器通过 POST 获取令牌。 CI 在 Input 类的“_sanitize_globals()”函数中执行令牌验证：

$this->security->csrf_verify();

4.Security类的函数“csrf_verify”刚刚检查是否设置了POST['token']并且POST['token']等于COOKIE['token']；

public function csrf_verify()

// If no POST data exists we will set the CSRF cookie
if (count($_POST) == 0)

    return $this->csrf_set_cookie();


// Do the tokens exist in both the _POST and _COOKIE arrays?
if ( ! isset($_POST[$this->_csrf_token_name]) OR
         ! isset($_COOKIE[$this->_csrf_cookie_name]))

    $this->csrf_show_error();


// Do the tokens match?

if ($_POST[$this->_csrf_token_name] != $_COOKIE[$this->_csrf_cookie_name])

    $this->csrf_show_error();


// We kill this since we're done and we don't want to
// polute the _POST array
unset($_POST[$this->_csrf_token_name]);

// Nothing should last forever
unset($_COOKIE[$this->_csrf_cookie_name]);
$this->_csrf_set_hash();
$this->csrf_set_cookie();

log_message('debug', "CSRF token verified ");

return $this;

为什么不在会话中存储令牌？恕我直言，仅检查 POST['token'] 非空且等于 COOKIE['token'] 是不够的，因为两者都可能是由邪恶网站发送的。

【问题讨论】：

我不认为邪恶的网站可以为“好”网站设置 cookie 值：既不能读取也不能写入其他域的 cookie。还是我错过了什么？

也许你是对的，也许这只是使用 SESSION 的另一种方法。只是好奇它是否同样安全。

我对我的问题进行了修改，请查看。谢谢！

【参考方案1】：

有几个原因。

首先，将令牌存储在 cookie 中并不是不安全的。 Anti-CSRF 并非旨在防止自动发布内容，而是防止将请求伪造为经过身份验证的用户（通过 iframe 或简单链接）。只要令牌本身不可猜测，就足够了。

第二个是如果它存储在会话中，那么您需要启用会话，这也会导致可用性问题，因为如果您的会话超时并且您打开了带有表单的页面，您将无法再提交该表单（即使表单本身不需要登录状态）。

【讨论】：

我不太同意，它正在检查 cookie 和输入帖子，这样做是非常多余的，因为两者都可以通过某种方式进行更改。基本上，只需设置 cookie 并输入相同的内容，只需一点点 javascript 即可轻松完成。我相信这是 CodeIgniter 中的一个安全漏洞。来源：***.com/questions/6066462/…

Matthew：请看我下面的评论。很有趣的是，使用这种方法是否足够。

这可能超出了我的理解范围，但是如果 cookie 设置为仅安全，那么它应该不会受到这种特定类型的攻击。

【参考方案2】：

在 CodeIgniter 中，它们不会在代码中的任何地方使用原生 php 会话。

您提供的示例使用原生 PHP 会话显示。

在使用 CodeIgniter Session 类时，可以：通过 cookie 存储数据，或者将它们存储在数据库中。 [参考：http://codeigniter.com/user_guide/libraries/sessions.html]

在检查 csrf 数据时，每次都检查数据库是没有意义的，将它们存储在 cookie 中是合理的。

我认为它通常是安全的，但是这种方法存在一些漏洞窗口。也许使用服务器端密钥对其进行加密可能有助于提高安全性...

编辑：

https://code.djangoproject.com/wiki/CsrfProtection#Sessionindependentnonce

根据文章，它说 CSRF Protection with Session Independent nonce（由 CodeIgniter 使用）具有 CSRF + MITM 攻击的漏洞（Man-in-the-Middle）：

攻击者可以使用 Set-Cookie 设置 CSRF cookie，然后提供 POST 表单数据中的匹配标记。由于该网站不绑定 会话 cookie 到 CSRF cookie，它无法确定 CSRF 令牌 + cookie 是真实的（对其中之一进行哈希等） 它们将不起作用，因为攻击者只能从 直接站点，并在攻击中使用该对）。

差不多，函数csrf_verify()只检查cookie和输入POST是否 相等，两者都可以通过简单的 javascript 创建。如果您认真对待安全性，则应该三思而后行。

来源：How does this Man-In-The-Middle attack work?

【讨论】：

其实，我的想法和你一样 :) 问题是，一个邪恶的网站 (www.badsite.com) 可以为好网站 (www.goodsite.com) 设置一个 cookie，所以cookie 中的令牌将与邪恶站点发送的 POST 中的令牌匹配，因此好的站点将接收到由邪恶站点设置的 POST 和 cookie？不知何故，从答案中，我认为您可以将 cookie 设置为其他域（来自 evilsite）并期望它会被浏览器自动发送到好的站点。

甚至是的，如果一个邪恶的网站有一些 javascript 代码，受害者从一个邪恶的网站下载，那么 javascript 代码恕我直言可能会改变相关的 cookie：***.com/questions/402348/…

正确，没有第三方网站可以手动修改cookies，但是cookies可以通过恶意javascript修改。

【参考方案3】：

因为 CSRF 代表“跨站请求伪造”。这种攻击的一个例子是，如果你知道有人在http://somedomain.com/wordpress 安装了 wordpress。你可以让他们点击一个新链接，这真的会在他们的 wordpress 控制面板上做坏事。 CSRF 旨在防止这种情况发生，验证所采取的操作是否是用户有意采取的行动。

即使有人知道如何伪造 cookie 和隐藏表单字段以进行匹配，也无法进行跨站点，也无法防止伪造。

【讨论】：

请看下面的@tpae 答案和cmets。

你想让我看什么？ CSRF 不是身份验证的替代品，但它——与良好的身份验证相结合——可以防止已经通过身份验证的用户的意外行为......