注意安全(2)!XSRF跨站伪造请求

上一篇我们说了用脚本注入去公鸡小熊哥的博文评论。普通的脚本注入很容易就被前端后台全方位的脚本过滤给处理掉,完全没有杀伤力。一般来说遇到<, > , =" 等等可能加载执行脚本的用户输入,转换为&lt ; & gt ; 等等即可作为数据打印到 DOM 中,而不是作为脚本执行。详细情况参考上一篇文章 。我敢保证,@Swanky 肯定是受了我的蛊惑去 POST 了 三万多条评论导致被 @简书首席封号官 封号了。

伪造请求的过程


这次来说说伪造公鸡(Cross Site Request Forgery)的事情。通俗点讲就是 有人给你发送了一个链接,然后你手贱点开,是看起来很正常的网页(A.com/index.html),结果暗中被发送了一个指向 招商银行转账服务(B.com/transfer) 的POST请求,这个请求是攻击者在A.com/index.html 脚本中伪造的,因此请求的发送方属于A.com域,而不属于B.com/transfer 的域, 所以叫做 跨站伪造请求

// attack.html. 为了在这个伪造的网页中自动发送请求并且带上 受害用户的cookie,
// 一般都会在hidden iframe中加载一份正规网站的页面,而且攻击表单也是隐藏的。
// 表面上这个伪造网页是很正规的,并无异常。
  <form id="thisForm" method="POST" target="_blank" action="http://www.bank.com/transfer">
        <input type="text" name="name" value="csrf_Attack2!!!">
  </form>
  <iframe name="tab" src="http://www.bank.com" style="display:none;"> 
  </iframe> 

XSRF 原理


XSRF的关键就是 假如正规网站(B.com)的服务器端没有防御机制,只是对于发来的请求做用户身份验证,那么伪造请求就可以借用受害者浏览器自动发送的cookie蒙混过关,实行恶意攻击。其中有几个问题需要明确:

  1. 用户身份信息一般通过Http Request 的头部cookie 字段的值来传递,cookie中往往包含sessionid 这样的用户会话信息,服务器通过比对服务端内存或数据库(Redis等)中维持的session就可以知道是哪个用户在发请求,Session有无过期。 这一过程一般不验证请求发送方的 域。
  2. 跨站伪造请求成功的前提是 B.com 提供了可供跨域调用的服务。因为我们知道大部分浏览器和服务器都禁止脚本请求跨域资源,这种行为一般不太安全。但是我非得请求呢?? 所以除了用JSONP 来GET跨域资源,更有采用CORS(Cross-origin resource sharing,跨域资源共享是W3C标准)来实现POST,PUT请求跨域的。 CORS的详细介绍可以参考这里.

通常情况下,假如服务器端开启CORS配置允许任何来源的请求,就很难分辨接收到的请求是用户自主发送的(往往是和B.com同一个域下的网页),还是攻击者冒充用户身份伪造的攻击请求(往往不同域,例如A.com)。

一休哥自制 XSRF 图示

XSRF防御——Token


经过上面的介绍,其实防御的办法大概都可以推断出来了。关键就是区分来自于各种域的请求,哪些是合法用户发送的,哪些是被借用了身份发送来的。

  1. 配置服务器的CORS,只允许白名单的域发来请求,这样最直接。只要白名单的网站不被攻击注入恶意脚本就基本安全了。以nodejs和express为例,配置如下:
app.all('*', function(req, res, next) {
   // 如果用"*", 表示接受任何域发来的请求, 这里只配置一个域名
   res.header("Access-Control-Allow-Origin", "www.icbc.com");
   res.header("Access-Control-Allow-Headers", "X-Requested-With, accept, origin, content-type");
   res.header("Access-Control-Allow-Methods", "PUT,POST,OPTIONS");
   next();
}

2.bank.com 的服务器端和客户端通力合作,协商一个除了Session之外的二次身份验证——Token。

Token验证的原理是:每次用户登陆成功,就根据SessionID特定算法生成一个Token,发回客户端(动态添加到一个隐藏域中,例如<input> 或者JS变量中),合法客户端在随后的请求中加入Token作为数据体,服务器端每次接受请求都要去验证SessionID 和 Token,双保险。以nodejs为例,一休哥自制服务端关键代码:

// 当用户登录验证成功时,随即生成与该用户Session绑定的Token
req.session.key = (Math.random()* Math.pow(10, 17));
var crsfToken = generateToken(parseInt(req.session.key).toString());
// 返回token给客户端,客户端将token动态添加至DOM或者变量中
res.send({"status": returnData, "refreshpage": redirectpage, "token": crsfToken});

// return Hex string as token. 
// 加密算法远比这个复杂。这里只是演示,这样也很难猜出token
function generateToken(sess) {
  var tk = "", a = 0.834415, b = 1.214414, c = 1.83121;
  for(var i=0; i < sess.length; i++){
    var baseNum = parseInt(sess[i]);
    tk += (a * Math.pow(baseNum, b) + c).toFixed(0);
  }
  var tkNum = parseInt(tk);
  return tkNum.toString(16);
}

// 当收到请求后,除了验证session,再根据session计算一次token,比对客户端发来的是否一致。
// check Token to prevent XSRF... 
function checkToken(session, params) {
  var validToken = generateToken(session.name);
  if (params.token && params.token == validToken) {
    return true;
  } else {
    console.error("CSRF Token not valid! Attack Found !!");
    return false;
  }
}

再补充一点,因为冒充身份的请求一般都是趁受害者处于登录状态了,所以DOM中没有Token,而经过合法登录后才会有Token存在。这样就较好地防御了跨站伪造请求攻击。

写在最后

现如今,网络安全形势越来越严峻,作为一个Web前端工程师,之前很少注意这一点。至此已经更新了两篇 跟前端工程师相关的网络安全 笔记了。希望大家喜欢本文,有所收获。

传送门:注意安全第一篇 XSS 跨站脚本注入

另外一篇很棒的英文参考 CSRF Attacks, XSRF or Sea-Surf – What They Are and How to Defend Against Them

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 205,386评论 6 479
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,939评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,851评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,953评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,971评论 5 369
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,784评论 1 283
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,126评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,765评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,148评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,744评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,858评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,479评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,080评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,053评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,278评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,245评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,590评论 2 343

推荐阅读更多精彩内容