跨站请求伪造 (CSRF)

​ 跨站请求伪造（CSRF，Cross-Site Request Forgery） 是一种网络攻击方式，攻击者诱使受害者在未经其授权的情况下执行特定操作。CSRF 利用受害者已登录的身份和浏览器自动发送的认证信息（如 Cookie）来冒充受害者，发起未经授权的请求。此攻击通常会导致严重的安全问题，特别是在银行、电子商务和社交网络等网站上。

---

CSRF 攻击的工作原理

银行转账操作案例

1. 用户登录银行网站
   用户访问银行网站并登录，提交登录凭据后，银行生成会话 Cookie 并存储在浏览器中：

   Cookie: JSESSIONID=randomid
   

   用户在登录后未注销，浏览器保存此 Cookie 用于后续的认证。

2. 银行提供的合法转账表单
   银行网站的转账表单如下：

   <form method="post" action="https://bank.example.com/transfer">
       <input type="text" name="amount" placeholder="Amount" />
       <input type="text" name="routingNumber" placeholder="Routing Number" />
       <input type="text" name="account" placeholder="Account Number" />
       <input type="submit" value="Transfer" />
   </form>
   

   用户提交数据后，浏览器发送如下请求：

   POST /transfer HTTP/1.1
   Host: bank.example.com
   Cookie: JSESSIONID=randomid
   Content-Type: application/x-www-form-urlencoded
   
   amount=200&routingNumber=1234&account=5678
   

3. 攻击者设置陷阱
   攻击者创建了一个恶意网站，并设计了一段 HTML 代码模拟银行的转账操作：

   <form method="post" action="https://bank.example.com/transfer">
       <input type="hidden" name="amount" value="500" />
       <input type="hidden" name="routingNumber" value="attackerRouting" />
       <input type="hidden" name="account" value="attackerAccount" />
       <input type="submit" value="Click to Claim Prize" />
   </form>
   

   攻击者诱使用户访问该页面，用户无意间点击了提交按钮，触发请求。

4. 后果
   浏览器发送以下请求到银行服务器：

   POST /transfer HTTP/1.1
   Host: bank.example.com
   Cookie: JSESSIONID=randomid
   Content-Type: application/x-www-form-urlencoded
   
   amount=500&routingNumber=attackerRouting&account=attackerAccount
   

   银行服务器因为依赖 Cookie 自动认证，误以为是用户本人发起的合法操作，将资金转入攻击者账户。

---

CSRF 的核心特点

1. 自动发送凭据
   浏览器会自动携带与目标网站相关的 Cookie 和其他认证信息。
2. 用户无感知
   用户通常不会察觉攻击的发生，因为它可能嵌入在正常网页或隐藏的代码中。
3. 利用受信任身份
   服务器将受害者的身份视为合法，因此执行攻击者设计的操作。

---

CSRF 攻击的危害

1. 资金损失：攻击者可通过伪造请求进行转账或支付操作。
2. 数据篡改：攻击者可修改用户数据，如更改密码、邮箱等。
3. 账户劫持：攻击者可利用 CSRF 攻击获取用户权限，进一步控制账户。
4. 服务滥用：攻击者可利用受害者的身份执行恶意操作，如发送垃圾邮件或发起 DDoS 攻击。

---

防范 CSRF 攻击的方法

1. 使用 CSRF Token

• 在表单或请求中添加一个随机生成的 Token，服务器验证该 Token 是否匹配。

• 示例：

  <form method="post" action="/transfer">
      <input type="hidden" name="csrf_token" value="randomly_generated_token" />
      <input type="text" name="amount" />
      <input type="submit" value="Transfer" />
  </form>
  

2. 验证请求来源

• 检查 Referer 或 Origin 头部，确保请求来自合法的源。

• 示例：

  Referer: https://bank.example.com
  Origin: https://bank.example.com
  

3. 使用 SameSite Cookie

• 设置 Cookie 的 SameSite 属性为 Strict 或 Lax，防止跨站请求携带 Cookie。

• 示例：

  Set-Cookie: JSESSIONID=randomid; SameSite=Strict
  

4. 限制安全方法

• 确保安全方法（如 GET、HEAD、OPTIONS）是只读的，不用于修改数据。
• 示例：
  • 使用 POST 或 PUT 方法执行写操作。
  • 避免使用 GET 方法执行敏感操作。

5. 双重认证

• 对敏感操作（如转账、修改密码）要求用户进行双重认证，例如输入短信验证码。

6. 定期安全测试

• 使用自动化工具（如 OWASP ZAP）进行安全测试，检查是否存在 CSRF 漏洞。

---

其他防护建议

1. 避免直接使用 GET 方法进行状态改变：避免使用 GET 请求来执行会影响服务器状态的操作，例如提交表单、修改数据等。始终使用 POST 方法来进行更改操作。
2. 对应用进行安全审计和渗透测试：定期进行 CSRF 漏洞检测，包括使用自动化工具（如 OWASP ZAP）进行测试，确保应用程序没有 CSRF 漏洞。
3. 教育用户：虽然大部分防护措施都在技术层面，但用户教育也很重要。提醒用户不要随便点击未知网站的链接或填写不明网站的表单。

---

扩展阅读

• OWASP CSRF Prevention Cheat Sheet
• 《Web应用程序安全权威指南》