CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
看了好多文章对csrf原理的解释,一直不明白不明白一个B网站的img标签的请求是如何挟持到A网站的cookies进行模拟跨域请求的。
直到看到一位大佬写的一篇文章,我才大体猜到了其中的原理。
不多废话,直接上核心原理:
CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的!
也就是说你只要本地浏览器cookie中保存A网站的SessionID还没有失效,不管你从你的浏览器哪个网站发出的指向A网站请求,都会挟持到cookie,这个瞬间感觉WEB的隐式身份验证机制
好傻逼。
CSRF大致流程:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
大佬举的例子也很生动:
银行转账的操作作为,假如某个银行的转账接口是下面,get请求,参数如下,toBankId是你的账号ID,money是钱数
http://www.mybank.com/Transfer.php?toBankId=11&money=1000
那么你在A网站授权登录后,再登录B网站,他就可以轻松的用一个img标签请求你A网站的接口,如下:
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
瞬间,你的账户就多了1000块钱有木有。
为什么会这样呢?原因是银行网站A违反了HTTP规范,使用GET请求更新资源。在访问危险网站B的之前,你已经登录了银行网站A,而B中的以GET的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏览器会带上你的银行网站A的Cookie发出Get请求,去获取“http://www.mybank.com/Transfer.php?toBankId=11&money=1000”,结果银行网站服务器收到请求后,认为这是一个更新资源操作(转账操作),所以就立刻进行转账操作…
其实CSRF远比这个例子要复杂,解决方式也很多,如下:
- 通过 referer、token 或者 验证码 来检测用户提交。
- 尽量不要在页面的链接中暴露用户隐私信息。
- 对于用户修改删除等操作最好都使用post 操作 。
- 避免全站通用的cookie,严格设置cookie的域。
大佬解释的就是好,建议大家去这篇文章看下,链接