跨站请求伪造(CSRF)

什么是 CSRF 

    CSRF Cross-site request forgery,称为“跨站请求伪造”,是指黑客引诱用户打开 黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事

攻击过程

CSRF 如何攻击

    1. 用户登陆网站 A, 网站 A 返回了 登陆状态 Cookie;

    2. 用户又登陆黑客的网站 B, 此时

            ① 自动发请 GET 请求

                 网站 B 中有 图片,该图片的地址指向 网站 A

               

            这样会自动发起 img 请求, 请求 A 的时候 会自动带上 A 的 Cookie, 那么 网站 A 如果没有做相应的处理的话,就会转账 或者 其他操作;

            ② 自动发请 POST 请求

                网站 B 中有一个隐藏的表单,表单的 action 就是 A 网站转账或其他操作接口,用户 打开 网站 B 会自动 提交表单。此⽤构建自动提交表单这种方式,就可以自动实现跨站点 POST 数据提交。

 自动发请 POST 请求

    ③ 引用用户点击链接

            这种方式跟 ① 差不多,只是多了一个点击的步骤,黑客网站 B 上有 诱惑的图片,诱导用户点击 图片下载的地址

             点击下载

            方式 和 ① 一样 ,只是 需要用户点击。

    注意: 和XSS不同的是,CSRF攻击不需要将恶意代码注入用户的页面,仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。


预防措施

    要发起CSRF攻击需要具备三个条件:目标站点存在漏洞用户要登录过目标站点 和 黑客需要通过第三方站点发起攻击。

    1. 验证码

        对于每一次的请求,要求用户验证,以确保请求的真是可靠。

    2. Referer 检查、Origin 检查

        验证请求的来源网站,检查发起请求的服务器,是否为目标服务器。HTTP 请求中的 Referer 头传递了当前请求的域名,如果此域名是非法服务器的域名,则需要禁止访问;

        但在服务器端验证请求头中的 Referer 并不是太可靠,因此又制定了 Origin 属性,在⼀些重要的场合,比如通过 XMLHttpRequest、Fecth 发起跨站请求或者通过 Post 方法发送请求时,都会带上Origin属性。

        Origin属性只包含了域名信息,并没有包含具体的 URL 路径,这是 Origin 和 Referer 的⼀个主要区别。

        因此,服务器的策略是优先判断 Origin,如果请求头中没有包含 Origin 属性,再根据实际情况判断是否使用 Referer 值。

    3. Token

        在浏览器向服务器发起请求时,服务器生成⼀个CSRF Token,这段随机码由用户保存,每次请求必须带上 token。

    4. Cookie 的 SameSite 属性

        ⿊客会利用用户的登录状态来发起 CSRF 攻击,而 Cookie 正是浏览器和服务器之间维护登录状态的⼀个关键数据。

        通常CSRF攻击都是从第三方站点发起的,要防止 CSRF 攻击,我们最好能实现从第三方站点发送请求时禁止 Cookie 的发送,因此在浏览器通过不同来源发送 HTTP 请求时,我们需要进行区分:

            1. 如果是从第三方站点发起的请求,那么需要浏览器禁止发送某些关键 Cookie 数据到服务器;

            2. 如果是同⼀个站点发起的请求,那么就需要保证 Cookie 数据正常发送。

            我们可以通过设置 set-cookie 的 SameSite, SameSite 选项通常有 Strict、Lax 和 None 三个值。

        Strict最为严格,浏览器会完全禁止第三方 Cookie,比如 A 网站的 Cookie 设置了这个属性,那么 B 网站访问 A ,Cookie 是不会发送到 A 网站上的,只有 A 的站点 去请求 A 服务器,才会带上;

        Lax 相对宽松⼀点。在跨站点的情况下,从第三方站点的链接打开和从第三方站点提交Get⽅式的表单这两种⽅式都会携带Cookie。但如果在第三方站点中使用 Post 方法,或者通过img、iframe等标签加载的URL,这些场景都不会携带 Cookie;

        使用 None 的话,在任何情况下都会发送 Cookie 数据。

        所以在实际情况下,我们将⼀些关键的 Cookie 设置为 Strict 或者 Lax 模式,这样在跨站点请求时,这些关键的 Cookie 就不会被发送到服务器,这样 CSRF 就会攻击失效。

你可能感兴趣的:(跨站请求伪造(CSRF))