json格式的CSRF如何防御

CSRF攻击是指攻击者利用受害者的登录态，在受害者不知情的情况下，向网站发送恶意请求，从而实现攻击目的。防范CSRF攻击的一种有效手段就是使用同步令牌（Synchronizer Token）。

在每次需要提交表单时，服务器会生成一个随机的token，并将此token插入到表单中。当表单提交后，服务器会校验这个token是否合法，从而确保此次请求是否为受信任来源。对于Json格式的CSRF，可以在HTTP请求头中添加X-CSRF-TOKEN来传递token值，另外，使用HttpOnly和Secure标识，防止token被窃取。

相关问题

csrf防御 示例代码

下面是一个简单的CSRF防御的示例代码：

from flask import Flask, request, session
import secrets

app = Flask(__name__)
app.secret_key = secrets.token_hex(16)

@app.route('/transfer', methods=['POST'])
def transfer():
    if 'csrf_token' not in session or session['csrf_token'] != request.form['csrf_token']:
        return 'Invalid CSRF token'
    # 执行转账操作
    return 'Transfer successful'

@app.route('/')
def index():
    session['csrf_token'] = secrets.token_hex(16)
    return f'''
    <form method="post" action="/transfer">
        <input type="hidden" name="csrf_token" value="{session['csrf_token']}">
        <input type="text" name="amount" placeholder="Amount">
        <input type="text" name="to" placeholder="To">
        <input type="submit" value="Transfer">
    </form>
    '''

if __name__ == '__main__':
    app.run(debug=True)

在这个示例中，我们使用了Flask框架来创建一个Web应用。当用户访问首页时，我们生成一个随机的CSRF token，并将其存储在session中。当用户提交转账请求时，我们检查请求中的CSRF token是否与session中存储的一致。如果不一致，则认为请求是非法的，转账操作将不会执行。

禁用httponly能否防御csrf

禁用httponly会使得cookie可以被JavaScript脚本访问，从而使得csrf攻击者可以获取到用户的cookie信息，从而实施csrf攻击。因此，禁用httponly不会防御csrf攻击，反而会增加安全风险。建议在所有cookie中启用httponly属性，并使用其他防御措施，如同源检测（SameSite）和双重提交令牌（Double Submit Token）等。