跨站请求伪造(CSRF)顾名思义就是在其他非法网站调用了正常网站的接口,攻击的方法是在页面中包含恶意代码或者链接,攻击者认为被攻击的用户有权访问另一个网站。如果用户在那个网站的会话没有过期,攻击者就能执行未经授权的操作。
大多数 Rails 程序都使用 cookie 存储会话,可能只把会话 ID 存储在 cookie 中,而把会话内容存储在服务器上,或者把整个会话都存储在客户端。不管怎样,只要能找到针对某个域名的 cookie,请求时就会连同该域中的 cookie 一起发送。这就是问题所在,如果请求由域名不同的其他网站发起,也会一起发送 cookie。我们来举个例子:
用户id为22的用户在client(浏览器)上登录,种下了session_id=xyz的cookies在浏览器上,如果有黑客修改了这个网站的某个页面的某个图片地址或者是其他网站的某个页面的某个图片的地址,用户一打开这个页面,就会发起http://www.webapp.com/project/1/destroy这个请求,session_id存放的cookies的源网站是*webapp.com,请求的地址也是匹配的,服务器就会接受这个请求,删除id为1的project。
以上的就是一个跨站请求伪造的例子,很危险吧,在互联网安全方面,跨站请求访问是一个很严重的安全问题,那么有什么办法可以避免吗?
官方的说法是根据不同的场景使用不同的请求方式,比如get和post。
使用 GET 请求的情形:
- 询问式请求,例如查询,读取等安全的操作;
使用 POST 请求的情形:
- 执行命令请求;
- 请求改变了资源的状态,且用户能察觉到这个变化,例如订阅一项服务;
- 请求的结果由用户负责;
- 验证HTTP Referer字段;
- 添加并验证token;
- 添加验证码