Entry № 285
CSRF 令牌
CSRF 令牌 是什么?
CSRF 令牌嵌入表单或请求头中、每个会话唯一且不可预测的值,使服务器能确认状态变更请求来自本站页面。
CSRF 令牌是对抗跨站请求伪造的标准防御。服务器生成随机值,与用户会话绑定,并嵌入 HTML 表单或通过自定义请求头发送。每次状态变更请求都将提交的令牌与期望值比对,不一致则拒绝。常见变体包括同步令牌模式(服务端状态)、双重提交 Cookie(无状态)与 OWASP HMAC 模式。现代应用应同时使用 CSRF 令牌、SameSite=Lax 或 Strict Cookie、自定义请求头、Origin/Referer 校验以及严格 CORS。只通过 JS 调用且使用 bearer 令牌的 API 不需要 CSRF 令牌,但仍需防重放控制。
● 示例
- 01
表单内的隐藏字段 <input type="hidden" name="csrf" value="a8f1...">。
- 02
X-CSRF-Token 请求头在服务器侧与会话密钥校验。
● 常见问题
CSRF 令牌 是什么?
嵌入表单或请求头中、每个会话唯一且不可预测的值,使服务器能确认状态变更请求来自本站页面。 它属于网络安全的 身份与访问 分类。
CSRF 令牌 是什么意思?
嵌入表单或请求头中、每个会话唯一且不可预测的值,使服务器能确认状态变更请求来自本站页面。
如何防御 CSRF 令牌?
针对 CSRF 令牌 的防御通常结合技术控制与运营实践,详见上方完整定义。