2018-03-16

CSRF浅析

标签： HTTP

---

CSRF是什么

跨站请求伪造(Cross-site request forgery,CSRF)，是指攻击者通过设置好的陷井，强制对已完成认证的用户进行某些状态更新，属于被动攻击。也被称为"One Click Attack"或Session Riding,也可缩写为XSRF.

也就是攻击者盗用用户在网站上的身份信息，进行一些用户不知道但服务器却认为合法的行为。比如，以你的名义发消息、网购商品等。

攻击过程

网站是通过Cookie数据来识别用户的，当用户完成身份验证并成功登陆后，浏览器会收到一个表明身份的Cookie，用来记录用户的状态。只要不退出浏览器或登出，每次向网站发出请求都会带上Cookie。

下面我们看下CSRF的过程：

1. 用户小明打开浏览器访问淘宝网，输入用户名及密码后登陆；
2. 登陆成功后，淘宝网服务器产生了Cookie并返回给浏览器，浏览器将Cookie保存在本地；
3. 当小明正在浏览商品的时候，他又打开了另一个链接（假设这是一个恶意网站）；
4. 这时恶意网站就会返回攻击代码，要求浏览器访问淘宝网；
5. 浏览器在小明不知情的情况下，携带淘宝网的Cookie向网站发起请不求。淘宝验证Cookie信息后认为这是一个合法的请求，从而响应该请求。

至此，完成一次CSRF攻击。

CSRF攻击防御

• Referer字段验证

首先，我们了解一下Referer是什么。在HTTP的请求头中，存在一个Referer字段，当浏览器向服务器发送请求的时候，一般会携带Referer。查看该字段可知道请求是从哪个链接发起的。

但是，以下情况一般不会发送Referer:

用户手动输入网址
使用https协议的网址

所以，如果我们百度搜索页面进"新浪微博"，Rferer字段是这样：

Referer:https://www.baidu.com/link?url=KqH3AcHOBg9SIcBQg39zRFJnHET1fCxj0wppz0pnA5C&wd=&eqid=923f5eda0000ea29000000045aabc12b

而从新浪主页点击进入，Referer字段是这样：

Referer:http://www.sina.com.cn/

因此，正常的访问，Referer字段与请求地址是位于同一域名下的；如果是CSRF攻击，Referer字段则是攻击网站的域名，服务器进行验证后就能识别出恶意攻击。
但是，攻击者可以修改Referer字段骗过服务器。

• 在请求地址中添加token并验证

具体过程如下：

1. 服务器收到路由请求后，生成一个随机数，在渲染页面进把随机数埋入页面中，一般是form表单();
2. 服务端设置setCookie，并把该随机数作为Cookie或者session返回给浏览器；
3. 当用户使用GET或POST方法发送请求时带上_csrf_token参数；
4. 服务端收到请求后通过Cookie解析出_csrf_token，然后与页面中的_csrf_token比较，如果一致则是合法请求。

参考
https://zhuanlan.zhihu.com/p/22521378
上野宣 著.《图解HTTP》