告别CSRF令牌：一种更简洁的Web安全新范式正在流行

起因：一个“老生常谈”的痛点有了新解法

如果你开发过需要表单提交的传统Web应用，你很可能和CSRF（跨站请求伪造）令牌打过交道。它的原理是在表单中埋入一个随机生成的隐藏字段，服务器通过验证这个字段来确认请求确实来自自己的页面，而不是恶意的第三方网站。这招很管用，但用起来很麻烦——你必须在每个表单模板里手动加上<input type="hidden" name="csrftoken" ...>，并且在提供API时，还得想办法绕过这个检查。Datasette的作者Simon Willison一直觉得这是个“痛点”。

拆解：从“令牌验证”到“浏览器代劳”

现在，一种更优雅的方案出现了。其核心思路是：利用现代浏览器在发起请求时自动携带的Sec-Fetch-Site这个HTTP请求头。这个请求头会明确告诉服务器，当前请求是来自“同站”（same-site）、“同源”（same-origin）还是“跨站”（cross-site）。如果浏览器说这是“跨站”请求，而你的操作又是一个会修改数据的非安全方法（如POST），那它很可能就是一次CSRF攻击，服务器可以直接拒绝。

这就好比以前你需要自己给每个访客发一张临时通行证（令牌），并且要自己核对。现在，访客的“身份证”（浏览器）上自带了一个“出发地”印章，你只需要看一眼印章就知道他是不是从你允许的地方来的。整个过程对开发者完全透明，模板里的那些隐藏字段和相关的插件钩子都可以彻底删除了。

趋势洞察：安全实践正在拥抱“浏览器原生能力”

这件事远不止是一个工具库的更新。它揭示了一个更深层的趋势：Web安全防护正在从“应用层自行实现”转向“依赖浏览器提供的标准化、原生元数据”。Sec-Fetch-Site、Sec-Fetch-Dest等请求头是浏览器为了增强安全性而引入的标准。Go语言在1.25版本中采纳了这一方案，现在Python生态的Datasette也跟进。这就像当年HTTPS从可选变成必选一样，一种更简洁、更不易出错的安全模式正在成为新的最佳实践。对于整个开发者社区而言，这意味着未来构建安全应用的“默认配置”会越来越友好。

实用价值：对你意味着什么？

首先，如果你正在维护一个使用CSRF令牌的项目，可以开始评估迁移到基于Sec-Fetch-Site方案的可行性。虽然需要考虑旧版浏览器的兼容性（现代浏览器普遍支持），但收益是显著的：代码更简洁，逻辑更清晰。其次，如果你在设计新的Web应用或API，可以直接采用这种新范式，从一开始就避免CSRF令牌带来的复杂度。最后，这也提醒我们，要时常关注浏览器平台自身安全能力的演进，这些“免费”的原生能力往往比自己造轮子更可靠、更高效。Simon Willison特别提到，这次改动的PR描述是他手写的，部分是为了“保持诚实”，这也从侧面反映了他对这一改变重要性的认可——这不仅仅是一次代码优化，更是一次开发理念的更新。

---

原文地址: datasette PR #2689: Replace token-based CSRF with Sec-Fetch-Site header protection