应采用多重csrf防护措施:一、表单嵌入会话绑定的一次性token;二、ajax上传时通过请求头传递token;三、设置samesite cookie属性;四、referer白名单校验;五、为每次上传生成限时失效的独立token。
如果您在Web应用中实现了文件上传功能,但未对上传接口进行CSRF防护,则攻击者可诱导已登录用户在不知情状态下向该接口提交恶意文件。以下是针对此场景的多种防护方法:
一、在文件上传表单中嵌入隐藏Token字段
该方法通过服务端生成一次性随机Token并绑定至用户会话,在前端表单中以隐藏字段形式携带,使攻击者无法构造合法请求体。服务器收到上传请求后,必须校验该Token与会话中存储的值是否一致。
1、服务端生成加密安全的随机Token,例如使用PHP的bin2hex(random_bytes(32))或Python的secrets.token_urlsafe(32)。
2、将Token同时存入用户Session和HTML表单的隐藏输入框中,如:<input type="hidden" name="csrf_token" value="aBcDeF123...">。
3、在处理文件上传的后端逻辑中,先读取请求中的csrf_token参数,并与Session中对应键的值比对。
4、若两者不匹配或Token缺失,则立即终止请求处理,不执行任何文件写入操作。
二、在HTTP请求头中附加Token(AJAX上传适用)
当文件上传通过JavaScript发起(如使用fetch或XMLHttpRequest),可在请求头中注入Token,避免其暴露于表单源码中,降低被静态爬取的风险。
1、页面加载时,从服务端API获取当前有效Token,例如调用/api/csrf-token接口返回JSON格式的{"token": "xYz789..."}。
2、在构建上传请求时,将Token设为自定义请求头,例如headers: { 'X-CSRF-Token': 'xYz789...' }。
3、服务端中间件拦截所有上传路径(如/upload),检查请求头是否存在X-CSRF-Token且值有效。
4、验证失败时直接返回HTTP 403状态,且不解析multipart body,防止资源浪费与潜在绕过。
三、结合SameSite Cookie属性限制跨域携带凭证
该方法从浏览器层面抑制第三方网站自动发送含认证信息的上传请求,作为Token机制的补充防线,尤其适用于基于Cookie身份认证的上传流程。
1、将用于维持登录态的Cookie设置SameSite=Strict或SameSite=Lax属性,例如响应头中包含Set-Cookie: sessionid=abc123; Path=/; HttpOnly; Secure; SameSite=Lax。
2、确保上传接口依赖该Cookie完成身份识别,且不单独依赖Token做全部校验。
3、测试不同浏览器对SameSite的支持情况,对不兼容旧版浏览器的场景保留Token校验作为兜底。
4、注意:SameSite=Lax仍允许GET表单提交,因此文件上传必须使用POST或PUT方法,并配合Token二次校验。
四、对上传请求强制Referer白名单校验
该方法通过验证HTTP请求头中的Referer字段是否属于可信域名,阻断来自外部恶意页面的伪造上传请求,适用于Referer头未被客户端主动清除的环境。
1、在上传接口入口处提取请求头中的Referer值。
2、检查该值是否为空,或是否以预设的合法域名开头,例如https://example.com/或https://app.example.com/。
3、若Referer缺失、为空字符串、或不在白名单内,则拒绝请求并返回403错误。
4、注意:不可单独依赖Referer校验,因该字段可被代理或隐私模式下移除,必须与Token机制共用。
五、为每个上传会话生成独立Token并限时失效
该方法提升Token的时效性与唯一性,防止重放攻击,特别适用于需多次上传或分片上传的复杂场景。
1、用户进入上传页面时,服务端创建一个与当前页面实例绑定的Token,存储于Redis中,键名为upload_session:{uuid},有效期设为15分钟。
2、前端将该Token放入表单或请求头,并在上传完成后或页面卸载前主动调用/api/invalidate-token使其作废。
3、上传接口接收到请求后,不仅校验Token有效性,还需查询Redis确认其未被标记为已使用或已过期。
4、每次成功上传后,立即删除该Token记录,确保同一Token仅能触发一次文件写入操作。
