WEB安全之-CSRF（跨站请求伪造）

WEB安全之-CSRF（跨站请求伪造）

WEB安全中经常谈到的两个东西：XSS和CSRF。

这两个概念在前端面试中也经常被问到，只要涉及到WEB安全的东西就必须提到他们哥俩，从我以往的面试经历中我多次死在这两个东西上，知道这两个东西但让我仔细描述下就瞎几把乱扯，结果可想而知。

这几天也查阅了相关书籍，终于把这两个东西搞明白了，为此决定写篇文章来记录他们俩以备今后复习，这篇先介绍CSRF。

CSRF是什么鬼

CSRF（Cross Site Request Forgery） 跨站请求伪造。也被称为One Click Attack和Session Riding，通常缩写为CSRF或XSRF。如果从名字你还不不知道它表示什么，你可以这样理解：攻击者（黑客，钓鱼网站）盗用了你的身份，以你的名义发送恶意请求，这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账，从而使你的个人隐私泄露和财产损失。

CSRF漏洞现状

CSRF这种攻击方式在2000年已经被国外的安全人员提出，但在国内，直到2006年才开始被关注，2008年，国内外的多个大型社区和交互网站分别爆出CSRF漏洞，如：纽约时报，Metafilter，YouTube和百度。。。。而现在，互联网的许多站点仍对此毫无防备，以至于安全业界称CSRF为“沉睡的巨人”。

CSRF攻击实例

听了这么多，可能大家还云里雾里，光听概念可能大家对于CSRF还是不够了解，下面我将举一个例子来让大家对CSRF有一个更深层次的理解。

我们先假设支付宝存在CSRF漏洞，我的支付宝账号是lyq，攻击者的支付宝账号是xxx。

然后我们通过网页请求的方式 http://zhifubao.com/withdraw?account=lyq&amount=10000&for=lyq2 可以把我账号lyq的10000元转到我的另外一个账号lyq2上去。通常情况下，该请求发送到支付宝服务器后，服务器会先验证该请求是否来自一个合法的session并且该session的用户已经成功登陆。攻击者在支付吧也有账号xxx，他知道上文中的URL可以进行转账操作，于是他自己可以发送一个请求 http://zhifubao.com/withdraw?account=lyq&amount=10000&for=xxx 到支付宝后台。

但是这个请求是来自攻击者而不是来自我lyq，所以不能通过安全认证，因此该请求作