CSRF（跨站请求伪造）的攻防汇总

以下是关于CSRF（跨站请求伪造）的攻防汇总：

 

一、攻击方手段

 

1. 诱导用户点击恶意链接

 

- 攻击原因：攻击者构造一个恶意链接，该链接指向目标网站的某个敏感操作页面，如修改密码、转账等。当用户在已登录目标网站的状态下点击这个恶意链接时，浏览器会自动携带用户在目标网站的认证信息（如 Cookie）向目标网站发送请求，从而执行恶意操作。

- 例如，攻击者发送一封电子邮件，其中包含一个看似无害但实际上是恶意链接的网址。如果用户不小心点击了这个链接，而此时用户正好登录了目标银行网站，就可能导致账户资金被非法转移。

2. 利用网站的第三方资源加载漏洞

 

- 攻击原因：一些网站可能会加载来自第三方的资源，如图片、脚本等。攻击者可以通过篡改这些第三方资源，使其包含恶意的请求，从而利用用户对目标网站的访问来触发 CSRF 攻击。

- 比如，一个论坛网站允许用户上传头像图片，攻击者上传一张图片，图片的加载会触发对目标电商网站的购买请求。当其他用户在浏览论坛并加载这个被篡改的头像图片时，就可能在不知情的情况下在目标电商网站上进行了购买操作。

 

二、防御方措施

 

1. 验证请求来源

 

- 防御原因：通过验证请求的来源，可以确保请求是来自合法的渠道。服务器可以检查请求的 Referer 头或者使用 Origin 头来判断请求的来源是否可信。如果请求来自不可信的来源，服务器可以拒绝该请求。

- 例如，银行网站在处理转账请求时，可以检查 Referer 头是否为银行自己的网址。如果不是，就认为这可能是一个 CSRF 攻击请求，拒绝执行转账操作。

2. 使用 CSRF token

 

- 防御原因：在用户登录后，服务器为用户生成一个随机的 CSRF token，并将其包含在表单或者请求头中。当用户提交请求时，服务器会验证这个 token 的有效性。如果 token 不匹配或者不存在，服务器就拒绝该请求。

- 这样即使攻击者诱导用户点击恶意链接，由于攻击者不知道正确的 CSRF token，所以无法成功执行恶意操作。

3. 双重认证

 

- 防御原因：除了传统的用户名和密码认证外，增加额外的认证方式，如手机验证码、指纹识别等，可以提高安全性。即使攻击者成功进行了 CSRF 攻击，也无法通过额外的认证步骤。

- 例如，在进行重要操作时，如修改密码、转账等，要求用户输入手机验证码，确保操作是由用户本人发起的。