Comment se protéger contre les CSRF lors de l'utilisation de Backbone.js pour publier des données?

Backbone.js gère l'affichage des données au serveur sous le capot, donc il n'est pas facile d'insérer un jeton CSRF dans la charge utile. Comment puis-je protéger mon site contre les CSRF dans cette situation?

Dans cette SORTE de réponse: https://stackoverflow.com/a/10386412/954376, la suggestion est de vérifier que les x-Requested-En-tête pour être XMLHTTPRequest. Est-ce suffisant pour bloquer tous les CSRF tente?

Dans Django docs, il est suggéré d'ajouter un jeton CSRF dans un autre en-tête personnalisé à chaque requête AJAX: https://docs.djangoproject.com/en/1.5/ref/contrib/csrf/#ajax. Est-ce nécessaire?

Je comprends, si l'attaque utilise le formulaire masqué, je suis sûr par tout en assurant la demande est de XMLHTTPRequest. Mais est-il une attaque CSRF trucs qui peuvent falsifier les en-tête?

"Je suis sûr par tout en assurant la demande est de XMLHTTPRequest" — Vous ne pouvez pas garantir que.

OriginalL'auteur NeoWang | 2013-08-08

  1. 4

    Vous pouvez utiliser un préfiltre pour ajouter le pion à toutes les demandes:

    $.ajaxPrefilter(function(opts) {
    if (opts.data) {
        opts.data += "&";
    }
    opts.data += "csrfToken=" + token;
});

    Vous devrez peut-être ajouter de la logique supplémentaire si vous n'avez pas toujours envoyer le jeton.

    Merci pour votre réponse! Donc, juste de la vérification de la X-requested-with-tête n'est pas bon? Ce genre d'attaque peut forger cet en-tête?
    Ceux qui utilisent des bugs dans les plugins comme Flash. Vous ne pouvez pas falsifier les en-tête dans un normal CSRF de la situation, il est donc très bien sans bugs. Vous pouvez envisager de qui toujours juste l'envoi et la vérification de jeton est beaucoup plus simple que parfois la vérification de jeton et parfois vérification de l'en-tête.

    OriginalL'auteur Esailija

  2. 15

    La configuration d'un CSRF token pour tous jQuery.les appels ajax:

    $(function(){ 
  $.ajaxSetup({
    headers: {'X-CSRFToken': CSRF_TOKEN}
  });
})

    Réglage du jeton que vous venez pour la colonne vertébrale en substituant la colonne vertébrale.sync:

    var oldSync = Backbone.sync;
Backbone.sync = function(method, model, options){
  options.beforeSend = function(xhr){
    xhr.setRequestHeader('X-CSRFToken', CSRF_TOKEN);
  };
  return oldSync(method, model, options);
};

    EDIT: correction d'une faute Kadam points dans les commentaires

    L'orthographe correcte de l'en-tête de la clé est X-CSRFToken. Il y a un éclat supplémentaire à votre première suggestion que le brise.
    l'orthographe correcte de l'en-tête de la clé dépend du serveur. Par exemple, Express 3 utilise X-CSRF-Token. expressjs.com/3x/api.html#csrf

    OriginalL'auteur Pasi Jokinen

  3. 1

    Voici une version mise à jour, basée à Django 1.7 (à l'aide de jQuery cookie plugin)

    oldSync = Backbone.sync
Backbone.sync = (method, model, options) ->

    csrfSafeMethod = (method) ->
        # these HTTP methods do not require CSRF protection
        /^(GET|HEAD|OPTIONS|TRACE)$/.test method

    options.beforeSend = (xhr, settings) ->
        if !csrfSafeMethod(settings.type) and !@crossDomain
            xhr.setRequestHeader 'X-CSRFToken', $.cookie('csrftoken')
        return
    oldSync method, model, options

    OriginalL'auteur Akhorus

  4. 0

    Je sais que c'est un peu vieille question, mais je vais laisser un lien vers le dépôt github de la DMLA module juste pour cela:

    https://github.com/kuc2477/backbone.csrf.git (disclaimer: je suis l'auteur du module)

    OriginalL'auteur June