跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
一次成功的CSRF攻击需要满足2个条件:1. 冒用了前端用户的登陆态身份 2. 后台服务无条件信任请求
浏览器默认携带本次http请求域名的cookie,这给了攻击者极大的便利去窃取用户的登录态身份。于是,一个典型的CSRF攻击有着如下的流程:
受害者登录a.com,并保留了登录凭证(Cookie)
攻击者引诱受害者访问了b.com
在受害者不之情的情况下,b.com 悄悄地向 a.com 发送了一个请求:a.com/act=xx。由于请求的域是a.com,于是浏览器会默认携带a.com的Cookie(完成身份冒用)
a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求(无条件信任请求)
a.com以受害者的名义执行了act=xx
攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作
CSRF的特点
攻击一般发起在第三方网站
攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据
整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”
跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪
因此,为了防止CSRF攻击,前端和后端都做了相应的措施
- 前端:浏览器的同源策略
浏览器有同源策略,限制了前端不能发起和当前所在页面的域名不一致的其他域名请求,也就是说,在b.com的页面下无法发起对a.com资源的请求。比如你先登录了www.qq.com,产生了cookie,然后不小心访问了www.hack.com的页面,里面有个删除qq相册的链接www.qq.com/deletephoto,你刚好点击了,就会把qq.com的cookie带过去,如果请求成功那直接把你的相片全删了,很可怕!但是请求跨域了,浏览器的同源策略不会让hack得逞
当然这也导致了一些跨域问题,例如通常一些静态资源很多是跨域的,比如加载别的域名下的图片。这需要服务端加跨域头,前端的请求也带上crossorigin属性 - 后端:为了防止跨域攻击,使用ACAO
后端可以设置Access-Control-Allow-Origin来设置哪些源站可以跨域访问自己。而为了配合后端对请求来源的判断,http header 增加了Origin和Referrer字段,在浏览器环境下它们都是在请求时由浏览器带上并且不可篡改的
Origin的值是发起请求时所在页面的域名,后端的Access-Control-Allow-Origin设置了域白名单,请求的header的Origin在白名单内,就允许访问资源,否则就是非法的跨域访问
而Referrer的值是发起请求时所在页面的url,后端也可以通过Referrrer做白名单判断就能防止常见的CSRF攻击
