跨站请求伪造（CSRF）攻击：解析与防御策略

DTcode7

于 2024-07-22 21:24:30 发布

阅读量830

点赞数 32

分类专栏： HTML网站开发 # 前端基础入门三大核心之html 文章标签： HTML 前端 web JavaScript H5

本文链接：https://blog.csdn.net/black_cat7/article/details/140619945

版权

HTML网站开发同时被 2 个专栏收录

601 篇文章 6 订阅

订阅专栏

前端基础入门三大核心之html

261 篇文章 6 订阅

订阅专栏

跨站请求伪造（CSRF）攻击：解析与防御策略

在当今的Web开发环境中，安全始终是不可忽视的一环。跨站请求伪造（Cross-Site Request Forgery，简称CSRF）是一种常见的网络攻击手段，它利用用户在浏览器中存储的认证信息（如Cookie）发起非预期的恶意请求。本文旨在深入探讨CSRF攻击的基本原理、潜在威胁以及防御措施，结合实际开发经验，为前端开发者提供详尽的指导和实用的解决方案。

基本概念和作用说明

CSRF攻击简介

CSRF攻击发生在当一个恶意网站或链接诱使已登录特定应用的用户点击时，用户的浏览器会自动携带相应的Cookie发送到服务器，导致在用户不知情的情况下执行了恶意请求。这种攻击通常针对敏感操作，如转账、更改密码或提交表单等，因为这些操作往往不需要再次验证用户身份。

攻击原理

CSRF攻击利用了Web应用的一个关键特性——信任用户浏览器中的认证信息。一旦用户登录了一个Web应用，他们的浏览器就会保存认证信息（如session ID）。如果用户在浏览其他网站时点击了一个恶意链接或广告，这个链接可能会构造一个与他们已登录的Web应用相同的请求，从而触发恶意操作。

防御策略

使用CSRF令牌

原理

CSRF令牌是一个随机生成的唯一值，用于在客户端和服务器之间建立一种信任关系。当用户发起请求时，该令牌必须包含在请求中，服务器会验证此令牌是否有效，以此来判断请求是否合法。

示例一：生成和验证CSRF令牌

// 生成CSRF令牌
function generateCSRFToken() {
  // 使用随机数生成器创建一个安全的随机字符串
  let token = '';
  const possible = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
  for (let i = 0; i < 32; i++) {
    token += possible.charAt(Math.floor(Math.random() * possible.length));
  }
  return token;
}

// 在HTML表单中添加CSRF令牌
<form action="/some/endpoint" method="post">
  <input type="hidden" name="_csrf" value="${generateCSRFToken()}">
  <!-- 其他表单元素 -->
  <button type="submit">Submit</button>
</form>

// 在服务器端验证CSRF令牌
app.post('/some/endpoint', function(req, res) {
  const csrfToken = req.body._csrf;
  // 验证令牌，如果无效则拒绝请求
});

同源策略与CORS

同源策略（Same-Origin Policy）限制了来自不同源的脚本之间的相互访问。而CORS（Cross-Origin Resource Sharing）是一种机制，用于放宽同源策略，允许从不同的源访问资源。合理配置CORS可以有效防止CSRF攻击。

示例二：CORS配置

// Express.js中的CORS配置
const express = require('express');
const cors = require('cors');

const app = express();

app.use(cors({
  origin: ['http://trusted-origin.com'],
  credentials: true
}));

app.listen(3000);

HTTP Only Cookie

标记Cookie为HttpOnly可以防止JavaScript脚本读取Cookie值，从而降低CSRF攻击的风险。

示例三：设置HttpOnly Cookie

res.cookie('mycookie', 'myvalue', {
  httpOnly: true,
});

SameSite属性

Cookie的SameSite属性可以进一步增强安全性。设置SameSite为Strict或Lax可以阻止第三方站点的Cookie被发送，从而抵御CSRF攻击。

示例四：设置SameSite Cookie

res.cookie('mycookie', 'myvalue', {
  sameSite: 'Strict',
});

功能使用思路

除了上述基本防御措施外，还可以结合多种方法提高安全性。例如，在高风险的操作中增加二次验证（如短信验证码），或者使用双重认证（Two-Factor Authentication, TFA）来增强账户的安全性。

二次验证

在敏感操作前要求用户提供额外的身份验证信息，如短信验证码或电子邮件确认。

双重认证

结合密码和物理设备（如手机）进行身份验证，即使攻击者获得了用户的密码，也无法完成认证流程。

实际工作开发中的使用技巧

在实际项目中，建议采用一种称为“防御性编程”的方法，即假设所有的外部输入都是不可信的。这意味着在处理任何用户输入之前都应进行严格的验证和清理，包括但不限于：

输入验证：检查所有输入是否符合预期的格式和类型。
输出编码：确保所有输出都被正确编码，以防止XSS（跨站脚本）攻击。
权限控制：确保每个用户只能访问其授权的资源。

此外，定期审查和更新安全策略，关注最新的安全漏洞报告和修复方案，也是保持系统安全的关键。

结语

跨站请求伪造（CSRF）攻击是Web开发中不容忽视的安全隐患。通过理解其原理并采取有效的防御措施，我们可以大大降低被攻击的风险。前端开发者应当熟悉CSRF防御策略，并在实际工作中积极应用，以保护用户数据的安全。在不断变化的网络安全环境下，持续学习和适应新的安全挑战至关重要，让我们一起努力，构建更加安全可靠的Web应用。

欢迎来到我的博客，很高兴能够在这里和您见面！希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言、分享您的想法和见解。

推荐：DTcode7的博客首页。
一个做过前端开发的产品经理，经历过睿智产品的折磨导致脱发之后，励志要翻身农奴把歌唱，一边打入敌人内部一边持续提升自己，为我们广大开发同胞谋福祉，坚决抵制睿智产品折磨我们码农兄弟！

专栏系列（点击解锁） 学习路线(点击解锁） 知识定位
《微信小程序相关博客》持续更新中~ 结合微信官方原生框架、uniapp等小程序框架，记录请求、封装、tabbar、UI组件的学习记录和使用技巧等
《AIGC相关博客》持续更新中~ AIGC、AI生产力工具的介绍，例如stable diffusion这种的AI绘画工具安装、使用、技巧等总结
《HTML网站开发相关》《前端基础入门三大核心之html相关博客》前端基础入门三大核心之html板块的内容，入坑前端或者辅助学习的必看知识
《前端基础入门三大核心之JS相关博客》前端JS是JavaScript语言在网页开发中的应用，负责实现交互效果和动态内容。它与HTML和CSS并称前端三剑客，共同构建用户界面。
通过操作DOM元素、响应事件、发起网络请求等，JS使页面能够响应用户行为，实现数据动态展示和页面流畅跳转，是现代Web开发的核心
《前端基础入门三大核心之CSS相关博客》介绍前端开发中遇到的CSS疑问和各种奇妙的CSS语法，同时收集精美的CSS效果代码，用来丰富你的web网页
《canvas绘图相关博客》 Canvas是HTML5中用于绘制图形的元素，通过JavaScript及其提供的绘图API，开发者可以在网页上绘制出各种复杂的图形、动画和图像效果。Canvas提供了高度的灵活性和控制力，使得前端绘图技术更加丰富和多样化
《Vue实战相关博客》持续更新中~ 详细总结了常用UI库elementUI的使用技巧以及Vue的学习之旅
《python相关博客》持续更新中~ Python，简洁易学的编程语言，强大到足以应对各种应用场景，是编程新手的理想选择，也是专业人士的得力工具
《sql数据库相关博客》持续更新中~ SQL数据库：高效管理数据的利器，学会SQL，轻松驾驭结构化数据，解锁数据分析与挖掘的无限可能
《算法系列相关博客》持续更新中~ 算法与数据结构学习总结，通过JS来编写处理复杂有趣的算法问题，提升你的技术思维
《IT信息技术相关博客》持续更新中~ 作为信息化人员所需要掌握的底层技术，涉及软件开发、网络建设、系统维护等领域的知识
《信息化人员基础技能知识相关博客》无论你是开发、产品、实施、经理，只要是从事信息化相关行业的人员，都应该掌握这些信息化的基础知识，可以不精通但是一定要了解，避免日常工作中贻笑大方
《信息化技能面试宝典相关博客》涉及信息化相关工作基础知识和面试技巧，提升自我能力与面试通过率，扩展知识面
《前端开发习惯与小技巧相关博客》持续更新中~ 罗列常用的开发工具使用技巧,如 Vscode快捷键操作、Git、CMD、游览器控制台等
《photoshop相关博客》持续更新中~ 基础的PS学习记录，含括PPI与DPI、物理像素dp、逻辑像素dip、矢量图和位图以及帧动画等的学习总结
日常开发&办公&生产【实用工具】分享相关博客》持续更新中~ 分享介绍各种开发中、工作中、个人生产以及学习上的工具，丰富阅历，给大家提供处理事情的更多角度，学习了解更多的便利工具，如Fiddler抓包、办公快捷键、虚拟机VMware等工具

吾辈才疏学浅，摹写之作，恐有瑕疵。望诸君海涵赐教。望轻喷，嘤嘤嘤
非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。愿斯文对汝有所裨益，纵其简陋未及渊博，亦足以略尽绵薄之力。倘若尚存阙漏，敬请不吝斧正，俾便精进！

专栏系列（点击解锁）	学习路线(点击解锁）	知识定位
《微信小程序相关博客》	持续更新中~	结合微信官方原生框架、uniapp等小程序框架，记录请求、封装、tabbar、UI组件的学习记录和使用技巧等
《AIGC相关博客》	持续更新中~	AIGC、AI生产力工具的介绍，例如stable diffusion这种的AI绘画工具安装、使用、技巧等总结
《HTML网站开发相关》	《前端基础入门三大核心之html相关博客》	前端基础入门三大核心之html板块的内容，入坑前端或者辅助学习的必看知识
《前端基础入门三大核心之JS相关博客》	前端JS是JavaScript语言在网页开发中的应用，负责实现交互效果和动态内容。它与HTML和CSS并称前端三剑客，共同构建用户界面。通过操作DOM元素、响应事件、发起网络请求等，JS使页面能够响应用户行为，实现数据动态展示和页面流畅跳转，是现代Web开发的核心
《前端基础入门三大核心之CSS相关博客》	介绍前端开发中遇到的CSS疑问和各种奇妙的CSS语法，同时收集精美的CSS效果代码，用来丰富你的web网页
《canvas绘图相关博客》	Canvas是HTML5中用于绘制图形的元素，通过JavaScript及其提供的绘图API，开发者可以在网页上绘制出各种复杂的图形、动画和图像效果。Canvas提供了高度的灵活性和控制力，使得前端绘图技术更加丰富和多样化
《Vue实战相关博客》	持续更新中~	详细总结了常用UI库elementUI的使用技巧以及Vue的学习之旅
《python相关博客》	持续更新中~	Python，简洁易学的编程语言，强大到足以应对各种应用场景，是编程新手的理想选择，也是专业人士的得力工具
《sql数据库相关博客》	持续更新中~	SQL数据库：高效管理数据的利器，学会SQL，轻松驾驭结构化数据，解锁数据分析与挖掘的无限可能
《算法系列相关博客》	持续更新中~	算法与数据结构学习总结，通过JS来编写处理复杂有趣的算法问题，提升你的技术思维
《IT信息技术相关博客》	持续更新中~	作为信息化人员所需要掌握的底层技术，涉及软件开发、网络建设、系统维护等领域的知识
《信息化人员基础技能知识相关博客》	无论你是开发、产品、实施、经理，只要是从事信息化相关行业的人员，都应该掌握这些信息化的基础知识，可以不精通但是一定要了解，避免日常工作中贻笑大方
《信息化技能面试宝典相关博客》	涉及信息化相关工作基础知识和面试技巧，提升自我能力与面试通过率，扩展知识面
《前端开发习惯与小技巧相关博客》	持续更新中~	罗列常用的开发工具使用技巧,如 Vscode快捷键操作、Git、CMD、游览器控制台等
《photoshop相关博客》	持续更新中~	基础的PS学习记录，含括PPI与DPI、物理像素dp、逻辑像素dip、矢量图和位图以及帧动画等的学习总结
日常开发&办公&生产【实用工具】分享相关博客》	持续更新中~	分享介绍各种开发中、工作中、个人生产以及学习上的工具，丰富阅历，给大家提供处理事情的更多角度，学习了解更多的便利工具，如Fiddler抓包、办公快捷键、虚拟机VMware等工具