什么是 CSRF
CSRF Cross-site request forgery,称为“跨站请求伪造”,是指黑客引诱用户打开 黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事。
CSRF 如何攻击
1. 用户登陆网站 A, 网站 A 返回了 登陆状态 Cookie;
2. 用户又登陆黑客的网站 B, 此时
① 自动发请 GET 请求
网站 B 中有 图片,该图片的地址指向 网站 A
<img src=''http:// 网站 A / 转账或者其他接口" />
这样会自动发起 img 请求, 请求 A 的时候 会自动带上 A 的 Cookie, 那么 网站 A 如果没有做相应的处理的话,就会转账 或者 其他操作;
② 自动发请 POST 请求
网站 B 中有一个隐藏的表单,表单的 action 就是 A 网站转账或其他操作接口,用户 打开 网站 B 会自动 提交表单。此⽤构建自动提交表单这种方式,就可以自动实现跨站点 POST 数据提交。
③ 引用用户点击链接
这种方式跟 ① 差不多,只是多了一个点击的步骤,黑客网站 B 上有 诱惑的图片,诱导用户点击 图片下载的地址
<a src=''http:// 网站 A / 转账或者其他接口" > 点击下载</a>
方式 和 ① 一样 ,只是 需要用户点击。
注意: 和XSS不同的是,CSRF攻击不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。
预防措施
要发起CSRF攻击需要具备三个条件:目标站点存在漏洞、用户要登录过目标站点 和 黑客需要通过第三方站点发起攻击。
1. 验证码
对于每一次的请求,要求用户验证,以确保请求的真是可靠。
2. Referer 检查、Origin 检查
验证请求的来源网站,检查发起请求的服务器,是否为目标服务器。HTTP 请求中的 Referer 头传递了当前请求的域名,如果此域名是非法服务器的域名,则需要禁止访问;
但在服务器端验证请求头中的 Referer 并不是太可靠,因此又制定了 Origin 属性,在⼀些重要的场合,比如通过 XMLHttpRequest、Fecth 发起跨站请求或者通过 Post 方法发送请求时,都会带上Origin属性。
Origin属性只包含了域名信息,并没有包含具体的 URL 路径,这是 Origin 和 Referer 的⼀个主要区别。
因此,服务器的策略是优先判断 Origin,如果请求头中没有包含 Origin 属性,再根据实际情况判断是否使用 Referer 值。
3. Token
在浏览器向服务器发起请求时,服务器生成⼀个CSRF Token,这段随机码由用户保存,每次请求必须带上 token。
4. Cookie 的 SameSite 属性
⿊客会利用用户的登录状态来发起 CSRF 攻击,而 Cookie 正是浏览器和服务器之间维护登录状态的⼀个关键数据。
通常CSRF攻击都是从第三方站点发起的,要防止 CSRF 攻击,我们最好能实现从第三方站点发送请求时禁止 Cookie 的发送,因此在浏览器通过不同来源发送 HTTP 请求时,我们需要进行区分:
1. 如果是从第三方站点发起的请求,那么需要浏览器禁止发送某些关键 Cookie 数据到服务器;
2. 如果是同⼀个站点发起的请求,那么就需要保证 Cookie 数据正常发送。
我们可以通过设置 set-cookie 的 SameSite, SameSite 选项通常有 Strict、Lax 和 None 三个值。
Strict最为严格,浏览器会完全禁止第三方 Cookie,比如 A 网站的 Cookie 设置了这个属性,那么 B 网站访问 A ,Cookie 是不会发送到 A 网站上的,只有 A 的站点 去请求 A 服务器,才会带上;
Lax 相对宽松⼀点。在跨站点的情况下,从第三方站点的链接打开和从第三方站点提交Get⽅式的表单这两种⽅式都会携带Cookie。但如果在第三方站点中使用 Post 方法,或者通过img、iframe等标签加载的URL,这些场景都不会携带 Cookie;
使用 None 的话,在任何情况下都会发送 Cookie 数据。
所以在实际情况下,我们将⼀些关键的 Cookie 设置为 Strict 或者 Lax 模式,这样在跨站点请求时,这些关键的 Cookie 就不会被发送到服务器,这样 CSRF 就会攻击失效。
