CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
原理
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
可以得知CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的
防御
-
验证码 每个请求使用验证码,这个方案是完美的,因为要多次输入验证码,所以用户友好性很差,所以不适合实际运用
-
Refer验证 根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。如果请求来自非安全域名,则一律过滤。但是这方法太依赖浏览器,不能保证浏览器没有安全漏洞,同时也不能保证不能修改某些浏览器的refer
-
Token验证
HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
- 隐藏令牌 将独有的令牌包含在一个隐藏字段中。 这将使得该令牌通过 HTTP 请求体发送,避免其包含在 URL 中从而被暴露出来。该独有令牌同样可以包含在 URL 中或作为一个 URL 参数。 但是这种方法的巨大风险在于:URL 会暴露给攻击者, 这样秘密令牌也会被泄漏。
