json格式的csrf

关于防御方案，一般有如下几种：

1）用户操作验证，在提交数据时需要输入验证码

2）请求来源验证，验证请求来源的referer

3）表单token验证

现在业界对CSRF的防御，一致的做法是使用一个Token（Anti CSRF Token）。

这个Token的值必须是随机的，不可预测的。由于Token的存在，攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性，尽量把敏感操作由GET改为POST，以form或AJAX形式提交，避免Token泄露。

例子：

第一步：用户访问某个表单页面。

第二步：服务端生成一个Token，放在用户的Session中，或者浏览器的Cookie中。

第三步：在页面表单附带上Token参数。

第四步：用户提交请求后，服务端验证表单中的Token是否与用户Session（或Cookies）中的Token一致， 一致为合法请求，不是则非法请求。

4) 在前后端分离的前提下（例如使用ajax提交数据）设置不了token，可以给 cookie 新增 SameSite 属性，通过这个属性可以标记哪个 cookie 只作为同站 cookie （即第一方 cookie，不能作为第三方 cookie），既然不能作为第三方 cookie ，那么别的网站发起第三方请求时，第三方网站是收不到这个被标记关键 cookie，后面的鉴权处理就好办了。这一切都不需要做 token 生命周期的管理，也不用担心 Referer 会丢失或被中途被篡改。

SameStie 有两个值：Strict 和 Lax:

SameSite=Strict 严格模式，使用 SameSite=Strict 标记的 cookie 在任何情况下（包括异步请求和同步请求），都不能作为第三方 cookie。

SameSite=Lax 宽松模式，使用 SameSite=Lax 标记的 cookie 在异步请求 和 form 提交跳转的情况下，都不能作为第三方 cookie。

application/json：是JSON格式提交的一种识别方式。在请求头里标示。

application/x-www-form-urlencoded ： 这是form表单提交的时候的表示方式。

比如我们ajax提交，如果dataType是json，那么请求头就是application/json，而我们平常的form提交那么就是application/x-www-form-urlencoded，自己浏览器控制台看看就知道了。

有什么JSON问题请咨询我。知无不答。

JSON在线解析：http://www.sojson.com/

鹏仔微信 15129739599 鹏仔QQ344225443 鹏仔前端 pjxi.com 共享博客 sharedbk.com