最牛「CSRF防御」，带你进入大虾们的圈子！

简单理解 CSRF

什么是 CSRF？

CSRF，一般称为跨站请求伪造，英文名 Cross-site request forgery 缩写 CSRF，是一种对网站的恶意攻击。一个跨站请求伪造攻击迫使登陆用户的浏览器将伪造的HTTP请求,包括该用户的会话 cookie 和其余认证信息,发送到一个存在漏洞的web应用程序。这就容许了攻击者迫使用户浏览器向存在漏洞的应用程序发送请求,而这些请求会被应用程序认为是用户的合法请求。与XSS相比，CSRF攻击每每不大流行（所以对其进行防范的资源也至关稀少）和难以防范，因此被认为比XSS更具危险性。

CSRF 攻击过程简述

访问受信任的站点 C，C 在您的浏览器中写入 Cookie ， 您又访问含有攻击代码的站点 B， 站点 B 以您的身份向 A 发送了一个请求，而这个请求并无通过您的赞成或者并非您想要发送的。

CSRF 的危害有哪些？

CSRF 能够用访问者的身份作不少事情，包括但不限于我的信息泄露、也可能会危害财产安全。

CSRF 常见攻击方式

常见的攻击方式大体能够分为如下几种

1. Img 标签 GET 请求

例如修改当前已登陆用户密码

<img src="//rasp.oneasp.com/account/modifyPassword?new=123"/>

1. Flash 或隐藏表单的主动提交

   <form action="//rasp.oneasp.com/account/modifyPassword">
      <input type="hidden" name="new" value="123"/>
    </form>
    <script>document.forms[0].submit()</script>

   CSRF 如何防护

   目前防御 CSRF 大多在服务器端进行验证和限制，客户端解决方案较少，实现成本也较高。服务端主要方式有如下几种

2. Token 验证

这种方式能够过滤 95% 以上的 CSRF ，在表单提交时放入一个 token， 服务器验证该 token 是否有效。只容许有效的 token 请求， 不然拒绝当前操做。 但这种方式也有必定的局限性， 对于一些 GET 请求（例如获取当前用户信息的 GET 请求）加入 token 验证可能须要更改后端 API。

1. Referer 验证

通常对于一些私有 API 彻底能够拒绝非当前 origin 的 referer，在已知受信站点白名单的状况下，对于例如多站点共用的 API （例如权限系统）能够设置可访问 origin 的列表。须要注意在不少请求头中并无 referer 或者 referer 不正确。

1. 隐藏令牌
   将独有的令牌包含在一个隐藏字段中。 这将使得该令牌经过 HTTP 请求体发送,避免其包含在 URL 中从而被暴露出来。该独有令牌一样能够包含在 URL 中或做为一个 URL 参数。 可是这种方法的巨大风险在于:URL 会暴露给攻击者, 这样秘密令牌也会被泄漏。

CSRF 防御 in Flask

flask-wtf

在 Flask 0.9.0版本后，可使用 Flask-WTF 来防护 CSRF 攻击，Flask-WTF 默认对全部提交的表单启用 csrf 防御

wtf的token

<form method="post" action="https://www.oneasp.com">
    {{ form.csrf_token }}
</form>

非wtf的tokan

当使用非WTF表单的时候，能够将token放在一个隐藏域中，随表单一块儿提交

<form method="post" action="https://www.oneasp.com">
    <input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>

AJAX的token

Ajax的token能够放在隐藏域或其余标签中, 在经过js获取token， 随Ajax请求提交

<script type="text/javascript">
    var csrftoken = "{{ csrf_token() }}"
    // 或者
    var csrftoken = $('meta[name=csrf-token]').attr('content')
    
    $.ajaxSetup({
        beforeSend: function(xhr, settings) {
            if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
                xhr.setRequestHeader("X-CSRFToken", csrftoken)
            }
        }
    })
</script>

自定义 CSRF 验证失败后的逻辑

Flask提供装饰器@csrf.error_handler 来支持定制当CSRF验证失败后的返回信息

@csrf.error_handler
def csrf_error(reason):
    return render_template('csrf_error.html', reason=reason), 400

本文系 OneASP 前端工程师陈喜顺原创文章。现在，多样化的攻击手段层出不穷，传统安全解决方案愈来愈难以应对网络安全攻击。OneASP 自适应安全平台集成了预测、预防、检测和响应的能力，为您提供精准、持续、可视化的安全防御。想阅读更多技术文章，请访问 OneAPM 官方技术博客
本文转自 OneAPM 官方博客