跨站请求伪造(CSRF攻击)理解

时间 2019-12-07

原文原文链接

一概念html

你这能够这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF可以作的事情包括：以你名义发送邮件，发消息，盗取你的帐号，甚至于购买商品，虚拟货币转帐......形成的问题包括：我的隐私泄露以及财产安全。web

二过程后端

1 受害者 Bob 在银行有一笔存款，经过对银行的网站发送请求 http://bank.example/withdraw?account=bob&amount=1000000&for=bob2 可使 Bob 把 1000000 的存款转到 bob2 的帐号下。跨域

2 一般状况下，该请求发送到网站后，服务器会先验证该请求是否来自一个合法的 session，而且该 session 的用户 Bob 已经成功登录。浏览器

3 黑客 Mallory 本身在该银行也有帐户，他知道上文中的 URL 能够把钱进行转账操做。Mallory 能够本身发送一个请求给银行：http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory。缓存

可是这个请求来自 Mallory 而非 Bob，他不能经过安全认证，所以该请求不会起做用。安全

4 这时，Mallory 想到使用 CSRF 的攻击方式，他先本身作一个网站，在网站中放入以下代码： src=”http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory ”，而且经过广告等诱使 Bob 来访问他的网站。服务器

5 当 Bob 访问该网站时，上述 url 就会从 Bob 的浏览器发向银行，而这个请求会附带 Bob 浏览器中的 cookie 一块儿发向银行服务器。大多数状况下，该请求会失败，由于他要求 Bob 的认证信息。cookie

6 可是，若是 Bob 当时恰巧刚访问他的银行后不久，他的浏览器与银行网站之间的 session 还没有过时，浏览器的 cookie 之中含有 Bob 的认证信息。session

这时，悲剧发生了，这个 url 请求就会获得响应，钱将从 Bob 的帐号转移到 Mallory 的帐号，而 Bob 当时绝不知情。等之后 Bob 发现帐户钱少了，即便他去银行查询日志，他也只能发现确实有一个来自于他本人的合法请求转移了资金，没有任何被攻击的痕迹。而 Mallory 则能够拿到钱后逍遥法外。

三基本过程图解以下：

四总结

用户和网站经过正常登录，创建了信任关系，在这种信任关系的有效期内，用户经过广告等形式进入了攻击者的网站，攻击者会在本身的网站内访问与用户创建的信任关系的网站的某些敏感操做，而此时，用户和网站还在信任有效期内。

也能够经过相似xss的方式，上传图片之类的东西，src=某个请求，用户进入这个网站以后会发送这条请求。

并非只有get请求才能被csrf，攻击者一样能够经过表单完成一次post的csrf攻击。

五防护

1. 判断referer：并很差，

见[花式绕过csrf技巧]

(https://www.ohlinge.cn/web/csrf_referer.html?utm_source=tuicool&utm_medium=referral)。

2. jwt，比较经常使用，后端返回token，localstorage是有跨域限制的，其余域名没法访问信任域的缓存，每次请求在请求上带上token。