5

我正在 Django (1.5) 中开发一个简单的多人文字游戏应用程序。按照此处的示例,我使用单独的 Node.js 服务器和 Socket.io 来管理客户端连接。

我的问题分为两部分:

  1. 上面的教程@csrf_exempt用于 API 视图。由于 POST 不是来自客户端,而是来自通过 localhost 的 Node.js 服务器,因此如果不对此视图使用 CSRF 保护,我到底会暴露什么?

  2. 由于我不确定上述内容,我想使用 CSRF 保护。我试图从 Django 提供的 cookie 中提取 CSRF 令牌(如docs所建议的那样)并将其与 POST 一起发送,但我仍然收到 403 响应。

游戏服务器.js:

io.configure(function () {
    io.set('authorization', function (data, accept) {
        if (data.headers.cookie) {
            data.cookie = cookie_reader.parse(data.headers.cookie);
            return accept(null, true);
        }
        return accept('error', false);
    });
    io.set('log level', 1);
});

io.sockets.on('connection', function (socket) {

    socket.on('check_word', function (data) {
        values = querystring.stringify({
            word: data,
            sessionid: socket.handshake.cookie['sessionid']
        });

        var options = {
            host: 'localhost',
            port: 8000,
            path: '/node/check_word',
            method: 'POST',
            headers: {
                'X-CSRFToken': socket.handshake.cookie['csrftoken'],
                'Content-Type': 'application/x-www-form-urlencoded',
                'Content-Length': values.length
            }
        };

        var req = http.request(options, function (res) {
            res.setEncoding('utf8');

            res.on('data', function (message) {
                if (message) {
                    console.log(message);
                }
            });
        });

        req.write(values);
        req.end();
    });
});

game.html(仅脚本部分):

(function ($) {
  var socket = io.connect('localhost', { port: 4000 });

  socket.on('connect', function () {
    console.log("connected");
  });

  word_el = $('#word-input');

  word_el.keypress(function (event) {
    if (event.keyCode === 13) {
      // Enter key pressed
      var word = word_el.attr('value');
      if (word) {
        socket.emit('check_word', word, function (data) {
          console.log(data);
        });
      }

      word_el.attr('value', '');
    }
  });
})(jQuery);

视图.py:

@ensure_csrf_cookie
def check_word(request):
    return HttpResponse("MATCH:" + request.POST.get('word'))

任何见解将不胜感激!

4

1 回答 1

2

经过大量的研究和实验,我已经解决了这个问题。

我的发现:

  1. 在这种特殊情况下,CSRF 不会让我受到任何有意义的攻击。从理论上讲,它为游戏中的作弊开辟了一条途径,但对于零奖励来说,这是非常困难的(需要制造会话 ID 并针对当前正在进行的游戏)。然而,在聊天等其他应用程序中,这里的 CSRF 漏洞允许某人冒充另一个用户,这是一个更重要的问题。所以我们深入挖掘......

  2. 我最初通过 AJAX 标头解决问题的尝试是一个错误。一方面,请求实际上并不是通过 AJAX 来的。(request.is_ajax()在视图中返回 False。)其次,从 Django 收到的错误页面引用CSRF cookie not set了失败的原因。

所有这些都建立在解决方案中:

var options = {
    // snip...
    headers: {
        'Cookie': 'csrftoken=' + socket.handshake.cookie['csrftoken'],
        'Content-Type': 'application/x-www-form-urlencoded',
        'Content-Length': values.length
    }
};

添加正确的'Cookie'标头,请求成功。

于 2013-07-10T12:56:08.953 回答