Bảo Mật SPA Như 'Pháo Đài Bất Khả Xâm Phạm' Với HTTP-only Cookies và CSRF Token

Lê Lân

06/07/2025

HTTP-only Cookies và CSRF Token: Giải Pháp Đơn Giản, An Toàn và Mượt Mà Cho SPA

Mở Đầu

Trong lĩnh vực phát triển ứng dụng web hiện đại, việc bảo vệ an toàn thông tin người dùng luôn là ưu tiên hàng đầu. Đặc biệt với các ứng dụng SPA (Single Page Application), việc quản lý xác thực và bảo mật phiên làm việc cần được xử lý chặt chẽ để tránh các cuộc tấn công phổ biến như XSS (Cross-Site Scripting) và CSRF (Cross-Site Request Forgery). Sự kết hợp giữa HTTP-only cookies và CSRF token mang lại một giải pháp vừa đơn giản, vừa hiệu quả, giúp bảo vệ ứng dụng một cách toàn diện mà vẫn giữ trải nghiệm người dùng suôn sẻ.

Bài viết này sẽ giới thiệu chi tiết về cách kết hợp HTTP-only cookies với CSRF token nhằm đảm bảo an toàn cho SPA, đồng thời hướng dẫn bạn cách triển khai trong môi trường phổ biến như Express + Node và React, kèm theo các ví dụ thực tiễn.

Hiểu Về HTTP-only Cookies và CSRF Token

HTTP-only Cookies Là Gì?

HTTP-only cookies là cookies được thiết lập với thuộc tính HttpOnly , giúp trình duyệt không cho phép JavaScript truy cập. Điều này có nghĩa là những dữ liệu lưu trong cookies này không thể bị đánh cắp bởi các tấn công XSS.

Chú ý: Vì JavaScript không thể truy cập HTTP-only cookies, nên thông tin nhạy cảm như token xác thực được bảo vệ khỏi việc bị đánh cắp qua mã độc chèn vào trang web.

CSRF Token Là Gì?

CSRF token là một chuỗi ký tự ngẫu nhiên được server tạo ra và gửi xuống client để xác nhận rằng các yêu cầu HTTP đến từ người dùng thật sự, không phải kẻ xấu đang giả mạo. Mỗi yêu cầu gửi lên server kèm theo token này sẽ được kiểm tra để tránh nguy cơ CSRF.

Sự Kết Hợp Giúp Tăng Cường Bảo Mật Như Thế Nào?

Sử dụng HTTP-only cookies để lưu trữ token xác thực giúp:

Ngăn chặn XSS, bởi JavaScript không thể lấy token ra.

Token được trình duyệt tự động gửi kèm theo mỗi request, không cần phải thêm thủ công vào headers.

CSRF token, kết hợp với cờ SameSite và Secure trên cookies, giúp:

Bảo vệ khỏi các yêu cầu giả mạo từ các trang web khác.

Đảm bảo token chỉ gửi qua kết nối HTTPS an toàn.

Ưu Điểm của Giải Pháp HTTP-only Cookies + CSRF Token

1. Miễn Nhiễm Với XSS

JavaScript trong trình duyệt không thể đọc được HTTP-only cookies, do đó:

Kẻ tấn công không thể đánh cắp token xác thực qua XSS.

Ứng dụng an toàn hơn trước các lỗ hổng bảo mật phổ biến.

2. Gửi Tự Động Token Kèm Mỗi Yêu Cầu

Do trình duyệt tự động gửi cookie trong mỗi request:

Không cần phải viết mã thêm thủ công để thêm token vào header.

Giảm thiểu sai sót lập trình.

Đảm bảo nhất quán trong mọi trường hợp, kể cả khi tải trang, gửi form, hoặc gọi API.

3. Bảo Vệ CSRF Tích Hợp Với Thuộc Tính SameSite và Secure

Thiết lập SameSite=Lax hoặc SameSite=Strict giúp:

Chặn các request xuất phát từ domain không xác thực.

Cờ Secure chỉ cho phép gửi cookie qua HTTPS, tăng cường bảo mật.

Lưu ý quan trọng: Đặt cookie với HttpOnly , Secure , và SameSite giúp giảm thiểu rủi ro bảo mật một cách hiệu quả mà không phức tạp.

4. Tương Thích Mượt Mà Với React, SSR, Uploads, Mobile, và Hệ Thống Phức Tạp

Giải pháp này dễ dàng áp dụng cho:

React SPA với API backend phân tách.

Server-Side Rendering (SSR).

Xử lý upload file an toàn.

Các ứng dụng mobile khi dùng WebSocket hoặc microservices.

Hướng Dẫn Cài Đặt Cơ Bản

Thiết Lập Cookie HTTP-only Trong Express + Node

res.cookie('token', tokenValue, {
  httpOnly: true,
  secure: true, // Chỉ trên HTTPS
  sameSite: 'Lax',
});

Tạo và Gửi CSRF Token

Sử dụng middleware như csurf trong Express:

const csurf = require('csurf');
app.use(csurf());

app.get('/form', (req, res) => {
  res.json({ csrfToken: req.csrfToken() });
});

Sử Dụng CSRF Token Trong Client React

Lấy token từ API

Gửi token kèm vào headers của các request POST/PUT/DELETE

fetch('/api/data', {
  method: 'POST',
  headers: {
    'CSRF-Token': csrfToken,
  },
  body: JSON.stringify(data),
});

Mẹo kỹ thuật: Đảm bảo đồng bộ cookie và token CSRF, tránh sai lệch giữa các domain và môi trường phát triển.

Ví Dụ Thực Tế và Ứng Dụng

Tính Năng	Mô Tả	Ví Dụ Triển Khai
Bảo vệ Session	Sử dụng HTTP-only cookies để lưu JWT hoặc session ID	`HttpOnly` , `Secure` , `SameSite` cookies
Bảo vệ CSRF	Thêm token CSRF vào form hoặc header của HTTP request	Middleware `csurf`
Tương thích React SPA	API backend phục vụ CSRF token, React sử dụng fetch/Axios để gửi kèm token	React + Express combination
Hỗ trợ Uploads	Cookies vẫn được gửi tự động trong các request multipart/form-data	Thêm token CSRF làm field ẩn trong form
Phục vụ Mobile App	Dùng cookie và token CSRF cho các mobile webview hoặc WebSocket requests	Cài đặt tương tự như trình duyệt

Kết Luận

Sự kết hợp giữa HTTP-only cookies và CSRF token tạo nên một hệ thống bảo mật đơn giản nhưng hiệu quả vượt trội cho các ứng dụng SPA hiện đại. Giải pháp này không những giúp chống lại các mối đe dọa phổ biến như XSS và CSRF mà còn đảm bảo trải nghiệm người dùng mượt mà bởi vì cookie được gửi tự động cùng với mọi HTTP request.

Việc triển khai chúng cùng Express + Node backend và React frontend giúp bạn xây dựng một ứng dụng vừa an toàn, vừa dễ bảo trì, phù hợp với xu thế phát triển phần mềm hiện nay.

👉 Hãy thử áp dụng phương pháp này cho dự án SPA của bạn để tăng cường bảo mật mà không làm phức tạp quá trình phát triển.

Tham Khảo

OWASP Foundation. Cross-Site Request Forgery Prevention Cheat Sheet

Mozilla Developer Network. Using HTTP cookies

K. Rajan. (2023). “Building Secure SPA with HTTP-only Cookies and CSRF Tokens”, JavaScript Plain English. April 15, 2024 Đọc thêm

ExpressJS Documentation. Cookies and CSRF