CSRF 攻擊利用 Web 的以下屬性：cookie 用于存儲(chǔ)憑據(jù)，HTML 元素（與 JavaScript 不同）被允許發(fā)出跨域請(qǐng)求，HTML 元素隨所有請(qǐng)求發(fā)送所有 cookie（以及憑據(jù)）。

CSRF 將所有這些放在一起。攻擊者創(chuàng)建了一個(gè)惡意網(wǎng)站，其中包含向受害者的來(lái)源提交請(qǐng)求的 HTML 元素。當(dāng)受害者導(dǎo)航到攻擊者的站點(diǎn)時(shí)，瀏覽器會(huì)將受害者來(lái)源的所有 cookie 附加到請(qǐng)求中，這使得攻擊者生成的請(qǐng)求看起來(lái)像是由受害者提交的。

它是如何工作的？

它僅在潛在受害者經(jīng)過(guò)身份驗(yàn)證時(shí)才有效。

攻擊者可以通過(guò)使用 CSRF 攻擊繞過(guò)身份驗(yàn)證過(guò)程進(jìn)入網(wǎng)站。

CSRF 攻擊在具有額外權(quán)限的受害者執(zhí)行某些操作而其他人無(wú)法訪問(wèn)或執(zhí)行這些操作的情況下使用。例如，網(wǎng)上銀行。

CSRF 攻擊分兩個(gè)主要部分執(zhí)行

第一步是吸引用戶/受害者點(diǎn)擊鏈接或加載惡意頁(yè)面。攻擊者使用社會(huì)工程學(xué)來(lái)欺騙受害者。

第二步是通過(guò)向受害者的瀏覽器發(fā)送偽造的請(qǐng)求來(lái)欺騙受害者。此鏈接會(huì)將看似合法的請(qǐng)求重定向到網(wǎng)站。攻擊者將擁有他必須尋找的受害者的價(jià)值觀或詳細(xì)信息；受害者會(huì)認(rèn)為該請(qǐng)求是合法的。攻擊者還將獲得與受害者瀏覽器相關(guān)聯(lián)的 cookie 的詳細(xì)信息。

CSRF 的關(guān)鍵概念

攻擊者向用戶訪問(wèn)的站點(diǎn)發(fā)送惡意請(qǐng)求，攻擊者認(rèn)為受害者已針對(duì)該特定站點(diǎn)進(jìn)行了驗(yàn)證。

受害者的瀏覽器針對(duì)目標(biāo)站點(diǎn)進(jìn)行身份驗(yàn)證，并用于路由目標(biāo)站點(diǎn)的惡意請(qǐng)求。

在這里，受害者的瀏覽器或?qū)嵤┝?CSRF 預(yù)防方法的站點(diǎn)不會(huì)受到攻擊；受影響的網(wǎng)站是主要漏洞。

如何防止跨站請(qǐng)求偽造（CSRF）？

有幾種 CSRF 預(yù)防方法；其中一些是：

在不使用 Web 應(yīng)用程序時(shí)注銷它們。

保護(hù)您的用戶名和密碼。

不要讓瀏覽器記住密碼。

在您處理應(yīng)用程序并登錄時(shí)，請(qǐng)避免瀏覽。

反 CSRF Token

阻止跨站點(diǎn)請(qǐng)求偽造 (CSRF) 的最常見(jiàn)實(shí)現(xiàn)是使用與選定用戶相關(guān)的令牌，并且可以在每個(gè)狀態(tài)下作為隱藏表單找到，動(dòng)態(tài)表單出現(xiàn)在在線應(yīng)用程序上。

1. 這個(gè)Token，簡(jiǎn)稱 CSRF Token

工作原理如下：

客戶端請(qǐng)求具有表單的HTML 頁(yè)面。

為了響應(yīng)這個(gè)請(qǐng)求，服務(wù)器附加了兩個(gè)令牌。它將一個(gè)作為 cookie 發(fā)送，并將其他令牌保存在隱藏的表單字段中。這些令牌是隨機(jī)生成的。

提交表單后，客戶端將兩個(gè)令牌都發(fā)送回服務(wù)器。cookie 令牌作為令牌發(fā)送，表單令牌在表單數(shù)據(jù)內(nèi)部發(fā)送。

如果一個(gè)請(qǐng)求沒(méi)有兩個(gè)請(qǐng)求，則服務(wù)器不會(huì)響應(yīng)或拒絕該請(qǐng)求。

試圖偽造請(qǐng)求的攻擊者將不得不猜測(cè)反 CSRF 令牌和用戶的身份驗(yàn)證密碼。一段時(shí)間后，一旦會(huì)話結(jié)束，這些令牌就會(huì)失效，這使得攻擊者難以猜測(cè)令牌。

2. 同站點(diǎn) Cookie

有一些 cookie 與來(lái)源或網(wǎng)站相關(guān)聯(lián)，當(dāng)請(qǐng)求發(fā)送到該特定來(lái)源時(shí)，cookie 會(huì)隨之發(fā)送。此類請(qǐng)求稱為跨域請(qǐng)求。在此過(guò)程中，cookie 被發(fā)送給第三方，這使得 CSRF 攻擊成為可能。

3. 相同的站點(diǎn) Cookie 屬性

為了防止 CSRF 攻擊，可以使用同站點(diǎn) cookie 屬性。它禁用第三方對(duì)特定 cookie 的使用。

由服務(wù)器在設(shè)置cookie時(shí)完成；只有當(dāng)用戶直接使用 Web 應(yīng)用程序時(shí)，它才會(huì)請(qǐng)求瀏覽器發(fā)送 cookie 。

如果有人試圖從 Web 應(yīng)用程序請(qǐng)求某些東西，瀏覽器將不會(huì)發(fā)送 cookie。

但是，它可以防止 CSRF 攻擊。

這有一個(gè)限制，現(xiàn)代瀏覽器不支持同站點(diǎn) cookie，而舊瀏覽器不支持使用同站點(diǎn) cookie 的 Web 應(yīng)用程序。

CSRF 示例

下面我們有解釋一些例子CSRF ：

1. 使用 GET 請(qǐng)求：

假設(shè)您已經(jīng)實(shí)現(xiàn)并設(shè)計(jì)了一個(gè)網(wǎng)站banking.com，以使用GET 請(qǐng)求執(zhí)行諸如在線交易之類的操作，現(xiàn)在，知道如何制作惡意 URL 的聰明攻擊者可能會(huì)使用元素讓瀏覽器靜默加載頁(yè)面。

包含惡意 URL的HTML 圖像元素示例：

2. 可以使用以下技術(shù)之一來(lái)做同樣的事情：

通過(guò)發(fā)送包含 HTML 內(nèi)容的電子郵件

通過(guò)在頁(yè)面上植入腳本或惡意 URL。

3. 使用 POST 請(qǐng)求

關(guān)于 HTTP POST 請(qǐng)求有一個(gè)普遍的誤解，認(rèn)為 CSRF 攻擊可以通過(guò)允許 HTTP POST 請(qǐng)求來(lái)防止，這實(shí)際上是不正確的。攻擊者可以使用HTML 或 JavaScript創(chuàng)建表單并使用自動(dòng)提交功能來(lái)提交 POST 請(qǐng)求，而無(wú)需用戶單擊提交按鈕。

結(jié)論