跨站请求伪造（CSRF）

什么是 CSRF

CSRF Cross-site request forgery，称为“跨站请求伪造”，是指黑客引诱用户打开 黑客的网站，在黑客的网站中，利用用户的登录状态发起的跨站请求。简单来讲，CSRF攻击就是黑客利用了用户的登录状态，并通过第三方的站点来做一些坏事。

攻击过程

CSRF 如何攻击

1. 用户登陆网站 A，网站 A 返回了登陆状态 Cookie；

2. 用户又登陆黑客的网站 B，此时

① 自动发请 GET 请求

网站 B 中有图片，该图片的地址指向网站 A

这样会自动发起 img 请求，请求 A 的时候会自动带上 A 的 Cookie, 那么网站 A 如果没有做相应的处理的话，就会转账或者其他操作；

② 自动发请 POST 请求

网站 B 中有一个隐藏的表单，表单的 action 就是 A 网站转账或其他操作接口，用户打开网站 B 会自动提交表单。此⽤构建自动提交表单这种方式，就可以自动实现跨站点 POST 数据提交。

自动发请 POST 请求

③ 引用用户点击链接

这种方式跟 ① 差不多，只是多了一个点击的步骤，黑客网站 B 上有诱惑的图片，诱导用户点击图片下载的地址

方式和 ① 一样，只是需要用户点击。

注意： 和XSS不同的是，CSRF攻击不需要将恶意代码注入用户的页面，仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。

预防措施

要发起CSRF攻击需要具备三个条件：目标站点存在漏洞、用户要登录过目标站点 和 黑客需要通过第三方站点发起攻击。

1. 验证码

对于每一次的请求，要求用户验证，以确保请求的真是可靠。

2. Referer 检查、Origin 检查

验证请求的来源网站，检查发起请求的服务器，是否为目标服务器。HTTP 请求中的 Referer 头传递了当前请求的域名，如果此域名是非法服务器的域名，则需要禁止访问；

但在服务器端验证请求头中的 Referer 并不是太可靠，因此又制定了 Origin 属性，在⼀些重要的场合，比如通过 XMLHttpRequest、Fecth 发起跨站请求或者通过 Post 方法发送请求时，都会带上Origin属性。

Origin属性只包含了域名信息，并没有包含具体的 URL 路径，这是 Origin 和 Referer 的⼀个主要区别。

因此，服务器的策略是优先判断 Origin，如果请求头中没有包含 Origin 属性，再根据实际情况判断是否使用 Referer 值。

3. Token

在浏览器向服务器发起请求时，服务器生成⼀个CSRF Token，这段随机码由用户保存，每次请求必须带上 token。

4. Cookie 的 SameSite 属性

⿊客会利用用户的登录状态来发起 CSRF 攻击，而 Cookie 正是浏览器和服务器之间维护登录状态的⼀个关键数据。

通常CSRF攻击都是从第三方站点发起的，要防止 CSRF 攻击，我们最好能实现从第三方站点发送请求时禁止 Cookie 的发送，因此在浏览器通过不同来源发送 HTTP 请求时，我们需要进行区分：

1. 如果是从第三方站点发起的请求，那么需要浏览器禁止发送某些关键 Cookie 数据到服务器；

2. 如果是同⼀个站点发起的请求，那么就需要保证 Cookie 数据正常发送。

我们可以通过设置 set-cookie 的 SameSite， SameSite 选项通常有 Strict、Lax 和 None 三个值。

Strict最为严格，浏览器会完全禁止第三方 Cookie，比如 A 网站的 Cookie 设置了这个属性，那么 B 网站访问 A ，Cookie 是不会发送到 A 网站上的，只有 A 的站点去请求 A 服务器，才会带上；

Lax 相对宽松⼀点。在跨站点的情况下，从第三方站点的链接打开和从第三方站点提交Get⽅式的表单这两种⽅式都会携带Cookie。但如果在第三方站点中使用 Post 方法，或者通过img、iframe等标签加载的URL，这些场景都不会携带 Cookie；

使用 None 的话，在任何情况下都会发送 Cookie 数据。

所以在实际情况下，我们将⼀些关键的 Cookie 设置为 Strict 或者 Lax 模式，这样在跨站点请求时，这些关键的 Cookie 就不会被发送到服务器，这样 CSRF 就会攻击失效。