Web安全之CSRF实例解析，字节跳动网络安全高级工程师

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

const Koa = require(“koa”);

const app = new Koa();

const route = require(‘koa-route’);

const bodyParser = require(‘koa-bodyparser’);

const cors = require(‘@koa/cors’);

const KoaStatic = require(‘koa-static’);

let currentUserName = ‘’;

// 使用  koa-static  使得前后端都在同一个服务下

app.use(KoaStatic(__dirname));

app.use(bodyParser()); // 处理post请求的参数

// 初始金额为 1000

let money = 1000;

// 调用登陆的接口

const login = ctx => {

const req = ctx.request.body;

const userName = req.userName;

currentUserName = userName;

// 简单设置一个cookie

ctx.cookies.set(

‘name’,

userName,

{

domain: ‘127.0.0.1’, // 写cookie所在的域名

path: ‘/’,       // 写cookie所在的路径

maxAge: 10 * 60 * 1000, // cookie有效时长

expires: new Date(‘2021-02-15’),  // cookie失效时间

overwrite: false,  // 是否允许重写

SameSite: ‘None’,

}

)

ctx.response.body = {

data: {

money,

},

msg: ‘登陆成功’

};

}

// 调用支付的接口

const pay = ctx => {

if(ctx.method === ‘GET’) {

money = money - Number(ctx.request.query.money);

} else {

money = money - Number(ctx.request.body.money);

}

ctx.set(‘Access-Control-Allow-Credentials’, ‘true’);

// 根据有没有 cookie 来简单判断是否登录

if(ctx.cookies.get(‘name’)){

ctx.response.body = {

data: {

money: money,

},

msg: ‘支付成功’

};

}else{

ctx.body = ‘未登录’;

}

}

// 判断是否登陆

const isLogin = ctx => {

ctx.set(‘Access-Control-Allow-Credentials’, ‘true’);

if(ctx.cookies.get(‘name’)){

ctx.response.body = {

data: true,

msg: ‘登陆成功’

};

}else{

ctx.response.body = {

data: false,

msg: ‘未登录’

};

}

}

// 处理 options 请求

app.use((ctx, next)=> {

const headers = ctx.request.headers;

if(ctx.method === ‘OPTIONS’) {

ctx.set(‘Access-Control-Allow-Origin’, headers.origin);

ctx.set(‘Access-Control-Allow-Headers’, ‘Content-Type’);

ctx.set(‘Access-Control-Allow-Credentials’, ‘true’);

ctx.status = 204;

} else {

next();

}

})

app.use(cors());

app.use(route.post(‘/login’, login));

app.use(route.post(‘/pay’, pay));

app.use(route.get(‘/pay’, pay));

app.use(route.post(‘/isLogin’, isLogin));

app.listen(3200, () => {

console.log(‘启动成功’);

});

执行 nodemon server.js，访问页面 http://127.0.0.1:3200/client.html

CSRF-demo

登陆完成之后，可以看到Cookie是种到  http://127.0.0.1:3200 这个域下面的。

第三方页面 bad.html

哈哈，小样儿，哪有赚大钱的方法，还是踏实努力工作吧！

使用 HTTP-server 起一个 本地端口为 3100的服务，就可以通过 http://127.0.0.1:3100/bad.html 这个链接来访问，CSRF攻击需要做的就是在正常的页面上诱导用户点击链接进入这个页面

点击诱导链接，跳转到第三方的页面，第三方页面自动发了一个扣款的请求，所以在回到正常页面的时候，刷新，发现钱变少了。我们可以看到在第三方页面调用 http://127.0.0.1:3200/pay 这个接口的时候，Cookie自动加在了请求头上，这就是为什么 http://127.0.0.1:3100/bad.html 这个页面拿不到 Cookie，但是却能正常请求 http://127.0.0.1:3200/pay这个接口的原因。

CSRF攻击大致可以分为三种情况，自动发起Get请求， 自动发起POST请求，引导用户点击链接。下面会分别对上面例子进行简单的改造来说明这三种情况

自动发起Get请求

在上面的 bad.html中，我们把代码改成下面这样

当用户访问含有这个img的页面后，浏览器会自动向自动发起 img 的资源请求，如果服务器没有对该请求做判断的话，那么会认为这是一个正常的链接。

自动发起POST请求

上面例子中演示的就是这种情况。

哈哈，小样儿，哪有赚大钱的方法，还是踏实努力工作吧！

上面这段代码中构建了一个隐藏的表单，表单的内容就是自动发起支付的接口请求。当用户打开该页面时，这个表单会被自动执行提交。当表单被提交之后，服务器就会执行转账操作。因此使用构建自动提交表单这种方式，就可以自动实现跨站点 POST 数据提交。

引导用户点击链接

诱惑用户点击链接跳转到黑客自己的网站，示例代码如图所示

听说点击这个链接的人都赚大钱了，你还不来看一下么

用户点击这个地址就会跳到黑客的网站，黑客的网站可能会自动发送一些请求，比如上面提到的自动发起Get或Post请求。

如何防御CSRF

---

利用cookie的SameSite

SameSite有3个值：Strict, Lax和None

1. Strict。浏览器会完全禁止第三方cookie。比如a.com的页面中访问 b.com 的资源，那么a.com中的cookie不会被发送到 b.com服务器，只有从b.com的站点去请求b.com的资源，才会带上这些Cookie

2. Lax。相对宽松一些，在跨站点的情况下，从第三方站点链接打开和从第三方站点提交 Get方式的表单这两种方式都会携带Cookie。但如果在第三方站点中使用POST方法或者通过 img、Iframe等标签加载的URL，这些场景都不会携带Cookie。

3. None。任何情况下都会发送 Cookie数据

我们可以根据实际情况将一些关键的Cookie设置 Stirct或者 Lax模式，这样在跨站点请求的时候，这些关键的Cookie就不会被发送到服务器，从而使得CSRF攻击失败。

验证请求的来源点

由于CSRF攻击大多来自第三方站点，可以在服务器端验证请求来源的站点，禁止第三方站点的请求。可以通过HTTP请求头中的 Referer和Origin属性。

HTTP请求头

但是这种 Referer和Origin属性是可以被伪造的，碰上黑客高手，这种判断就是不安全的了。

CSRF Token

1. 最开始浏览器向服务器发起请求时，服务器生成一个CSRF Token。CSRF Token其实就是服务器生成的字符串，然后将该字符串种植到返回的页面中(可以通过Cookie)

2. 浏览器之后再发起请求的时候，需要带上页面中的 CSRF Token（在request中要带上之前获取到的Token，比如 x-csrf-token：xxxx）, 然后服务器会验证该Token是否合法。第三方网站发出去的请求是无法获取到 CSRF Token的值的。

其他知识点补充

---

1. 第三方cookie

Cookie是种在服务端的域名下的，比如客户端域名是 a.com，服务端的域名是 b.com， Cookie是种在 b.com域名下的，在 Chrome的 Application下是看到的是 a.com下面的Cookie，是没有的，之后，在a.com下发送b.com的接口请求会自动带上Cookie(因为Cookie是种在b.com下的)

2. 简单请求和复杂请求

复杂请求需要处理option请求。

之前写过一篇特别详细的文章 CORS原理及@koa/cors源码解析[3]，有空可以看一下。

3. Fetch的 credentials 参数

如果没有配置credential 这个参数，fetch是不会发送Cookie的

credential的参数如下

• include：不论是不是跨域的请求，总是发送请求资源域在本地的Cookies、HTTP Basic anthentication等验证信息

• same-origin：只有当URL与响应脚本同源才发送 cookies、 HTTP Basic authentication 等验证信息

• omit：从不发送cookies.

平常写一些简单的例子，从很多细节问题上也能补充自己的一些知识盲点。

参考

–

• 前端安全系列（一）：如何防止XSS攻击？[4]

• 前端安全系列之二：如何防止CSRF攻击？[5]

• 浅说 XSS 和 CSRF [6]

• 《白帽子讲 Web 安全》[7]

参考资料

[1]

http-server: https://github.com/indexzero/http-server

[2]

nodemon: https://github.com/remy/nodemon

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

http-server: https://github.com/indexzero/http-server

[2]

nodemon: https://github.com/remy/nodemon

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
[外链图片转存中…(img-mP4p9id6-1713185370577)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！