中文摘要：

跨站请求伪造（CSRF）漏洞的存在十分广泛,而且是开放式web应用安全项目（OWASP）统计的Top 10 Web攻击列表中最具威胁的漏洞之一。目前最具代表性的两种CSRF防御工具是CSRFGuard[2]和jCSRF[3]。针对CSRFGuard会将JS动态创建的动态HTTP请求误认为是CSRF攻击;jCSRF以代理模式部署,会增大web服务器的响应时间这两大问题,本文通过重写XMLHttp Request对象onsend的方法,向HTTP头注入CSRF防御Token,基于Apache web服务器实现了一个CSRF防御模块mod_anticsrf,去除了代理的网络通信开销。实验结果表明,mod_anticsrf支持动态HTTP请求,且几乎不影响web服务器的响应时间。