谈谈Json格式下的CSRF攻击

一、CSRF漏洞简介

csrf漏洞的成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个网站，都会默认你已经登录的状态。而在这个期间，攻击者发送了构造好的csrf脚本或包含csrf脚本的链接，可能会执行一些用户不想做的功能（比如是添加账号等）。这个操作不是用户真正想要执行的。

在post标准化格式（accounts=test&password=aaa）的表单页面中，在没有csrf防护的前提下，我们能很轻松地构造页面来实现攻击，但是在json格式下，csrf攻击怎么实现呢？

那我们为何不能使用这个常规构造的PoC来利用JSON端点中的CSRF呢？原因如下：

1、POSTbody需要以JSON格式发送，而这种格式如果用HTML表单元素来构建的话会比较麻烦。

2、Content-Type头需要设置为application/json。设置自定义Header需要使用XMLHttpRequests，而它还会向服务器端发送OPTIONS预检请求。

1.1 防御方案

关于防御方案，一般有如下几种：

1）用户操作验证，在提交数据时需要输入验证码

2）请求来源验证，验证请求来源的referer

3）表单token验证

现在业界对CSRF的防御，一致的做法是使用一个Token（Anti CSRF Token）。

这个Token的值必须是随机的，不可预测的。由于Token的存在，攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性，尽量把敏感操作由GET改为POST，以form或AJAX形式提交，避免Token泄露。

例子：

第一步：用户访问某个表单页面。

第二步：服务端生成一个Token，放在用户的Session中，或者浏览器的Cookie中。

第三步：在页面表单附带上Token参数。

第四步：用户提交请求后，服务端验证表单中的Token是否与用户Session（或Cookies）中的Token一致， 一致为合法请求，不是则非法请求。

4. 在前后端分离的前提下（例如使用ajax提交数据）设置不了token，可以给 cookie 新增 SameSite 属性，通过这个属性可以标记哪个 cookie 只作为同站 cookie （即第一方 cookie，不能作为第三方 cookie），既然不能作为第三方 cookie ，那么别的网站发起第三方请求时，第三方网站是收不到这个被标记关键 cookie，后面的鉴权处理就好办了。这一切都不需要做 token 生命周期的管理，也不用担心 Referer 会丢失或被中途被篡改。

SameStie 有两个值：Strict 和 Lax:

SameSite=Strict 严格模式，使用 SameSite=Strict 标记的 cookie 在任何情况下（包括异步请求和同步请求），都不能作为第三方 cookie。

SameSite=Lax 宽松模式，使用 SameSite=Lax 标记的 cookie 在异步请求 和 form 提交跳转的情况下，都不能作为第三方 cookie。

那么Strict和Lax的如何使用呢？

登录态关键的 cookie 都可以设置为 Strict。

后台根据用户的登录态动态新建一个可以用于校验登录态的 cookie ，设置为 Lax ，这样的话对外推广比如微博什么的，你希望用户在微博上打开你的链接还能保持登录态。

如果你的页面有可能被第三方网站去iframe或有接口需要做js