cross site request forgery:跨站请求伪造
用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。
跨站请求伪造可以发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账、删除数据等
csrf 攻击
get 请求发送数据
正常网站删除 topic 的连接如右下角所示
在同一个浏览器下访问其他网页,如果点击如下诱惑性超链接,将会发起 csrf 攻击
如果将诱导性超链接换成图片元素,那么它会自动加载,不需要额外点击就能发起攻击;
post 请求发送数据
分析被攻击网站的信息,可以看到,发送到服务器的字段有三个:topic 的 title 字段,所属的 board_id 字段和 content 字段,那么攻击也需要发送这三个字段。
还可以通过 js 实现自动提交:
<script>
var e = function(sel) {
return document.querySelector(sel)
}
e('#add').click()
</script>
csrf 防御
csrf_token
- 先生成 token(随机字符串),建立与当前用户的对应关系;
- 将该 token 通过视图函数传入到需要 "增删查改" 的页面中;
- 在 "增删查改" 的
html块中加入token,以 get 或 post 方式传递; - 编写权限函数,有这个 token,然后这个 token 对应 当前用户 id 即有权限;
CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie(通过相同的浏览器就能拿到) 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
浏览器发送登录请求的时候,服务器产生 csrf_token 随机字符串并保存,返回给浏览器,就像 session 和 cookie。当浏览器请求时,会检查请求携带的随机数是否在是不是在服务器保存的随机数里面,如果存在就是一个合法的请求。
一般来说,每次刷新页面,产生的随机字符串都会发生变化。但是对于同一台电脑同一台浏览器同一个用户,就配一个相同的 csrf_token。
生成 csrf_token
- 生成 随机字符串 token
import uuid
csrf_token = {}
def new_csrf_token():
u = current_user()
token = str(uuid.uuid4())
csrf_tokens[token] = u.id
return token
- 生成一个随机度比较高的随机数:uuid.uuid4()
- 将随机数与当前用户的对应关系保存,就像session,只是key不一样,值都是用户 id
验证函数
from functools import wraps
csrf_tokens = dict()
def csrf_required(f):
@wraps(f)
def wrapper(*args, **kwargs):
token = request.args.get('token')
u = current_user()
if token in csrf_tokens and csrf_tokens[token] == u.id:
csrf_tokens.pop(token)
return f(*args, **kwargs)
else:
# abort(404)
return redirect(url_for('topic.index'))
return wrapper
- token in csrf_tokens 可以判断字典中是否存在 token 键
在需要保护的函数前面加权限验证
@main.route("/add", methods=["POST"])
@csrf_required
def add():
form = request.form
u = current_user()
Topic.new(form, user_id=u.id)
return redirect(url_for('.index'))
- 传入需要保护的页面
- get
@main.route("/")
def index():
board_id = int(request.args.get('board_id', -1))
if board_id == -1:
ms = Topic.all()
else:
ms = Topic.find_all(board_id=board_id)
token = new_csrf_token()
bs = Board.all()
return render_template("topic/index.html", ms=ms, token=token, bs=bs, bid=board_id)
删除的 get 请求里面带上数据
这里需要强调一下利用 url 通过 get 方法传递数据到路由函数:
<a href="{{ url_for('topic.index') }}?board_id={{ b.id }}">{{ b.title }}</a>
会自动转换为字典形式:
board_id = int(request.args.get('board_id', -1))
<!--<a class="topic_title" href="{{ url_for('topic.delete', id=t.id) }}">-->
<a class="topic_title" href="{{ url_for('topic.delete', id=t.id, token=token) }}">
删除
</a>
- post
<form id="create_topic_form" method="post" action="{{ url_for('.add', token=token) }}">
或
<input type='text' name='token' value={{token}}>
上面一种方式是 get 请求,下面的才是 post 请求,故需要更改权限函数;
注意:
@main.route("/add", methods=["POST"])
@csrf_required
def add():
form = request.form
u = current_user()
Topic.new(form, user_id=u.id)
return redirect(url_for('.index'))
@csrf_required 对应的是 get 方法,获取 url 里面的 token;
request.form 对应的是表单里面上传的字段;
如果将 token 也以 post(在 form 里面加 input)传输,则要更改权限函数和 add() 函数;
验证码
服务器生成验证码的文字和 id
用户在浏览器输入相应的 文字,服务器会进行对比验证;
