概述

CSRF是Cross Site Request Forgery的縮寫，中文是跨站點(diǎn)請(qǐng)求偽造；接下來將和大家分享這種攻擊的原理、實(shí)施的方法、以及防御的幾種方案；

CSRF攻擊的原理

通過在惡意網(wǎng)站部署好攻擊代碼和相關(guān)數(shù)據(jù)，然后引導(dǎo)目標(biāo)網(wǎng)站的已經(jīng)授權(quán)的用戶進(jìn)入惡意網(wǎng)站，由于瀏覽器已經(jīng)獲得了目標(biāo)網(wǎng)站的用戶授權(quán)票據(jù)，因此惡意網(wǎng)站就可以執(zhí)行“事先”部署好的代碼向目標(biāo)網(wǎng)站提交數(shù)據(jù)使目標(biāo)網(wǎng)站執(zhí)行一些寫的操作，比如刪除目標(biāo)網(wǎng)站的數(shù)據(jù)、向目標(biāo)網(wǎng)站提交垃圾數(shù)據(jù)等，然而這個(gè)過程是在后臺(tái)默默執(zhí)行的，用戶毫不知情。

舉個(gè)例子說明一下吧：

假設(shè)www.t.com是目標(biāo)網(wǎng)站，有一個(gè)頁(yè)面www.t.com/blog/delete.aspx?id=123 是刪除ID為123的博文操作；

那么攻擊者就可以在惡意網(wǎng)站www.a.com/csrfpage.aspx頁(yè)面部署下面的代碼：

<form id="csrffrm" action="http://www.t.com/blog/delete.aspx" target="hideiframe"><input name="id" type="hidden" value="123" /></form>

<iframe name="hideiframe" style='display:none'></iframe>

<script>

document.getElementById("csrffrm").submit();

</script>

然后狡猾的攻擊者就可以通過各種方式吸引已經(jīng)成功登陸www.t.com的用戶點(diǎn)擊進(jìn)入www.a.com/csrfpage.aspx頁(yè)面，最后惡意代碼被執(zhí)行，用戶的博文ID為123的文章在不知不覺中被攻擊者刪除了

CSRF攻擊的條件

根據(jù)上面的原理可以看出要實(shí)施CSRF攻擊需要滿足下面幾個(gè)條件：

一、需要了解目標(biāo)系統(tǒng)的目錄和相關(guān)參數(shù)名稱，其實(shí)要滿足這個(gè)條件并不困難，攻擊者通過相關(guān)的“系統(tǒng)目錄彩虹表”進(jìn)行檢測(cè)又或者攻擊者本身也是目標(biāo)系統(tǒng)的用戶之一，那么了解目標(biāo)系統(tǒng)就更容易了；

二、需要一個(gè)執(zhí)行惡意代碼的網(wǎng)站，這個(gè)網(wǎng)站有可能是攻擊者事先部署好的網(wǎng)站，或者惡意網(wǎng)站存在XSS漏洞剛好被攻擊者利用；

三、需要目標(biāo)系統(tǒng)的用戶登錄并且獲得了合法的操作權(quán)限，同時(shí)用戶被誘惑進(jìn)入了惡意的網(wǎng)站；

要實(shí)施CSRF攻擊要滿足這三個(gè)條件，由于這些條件并不是那么容易被滿足，所以比較容易被開發(fā)者所忽略。

CSRF攻擊的防御策略

1.使用驗(yàn)證碼

記得之前的12306網(wǎng)站上每次查票都要輸入惡心的驗(yàn)證碼，之所以要設(shè)計(jì)這個(gè)驗(yàn)證碼它的目的是為了防止機(jī)器刷票，當(dāng)然也能有效的預(yù)防CSRF攻擊，但是如果每個(gè)操作都要用戶輸入驗(yàn)證碼用戶可能會(huì)崩潰掉，用戶體驗(yàn)效果非常的不好；

2.檢查Referer（來源）

除了驗(yàn)證碼還可以檢查Referer是否來自于同一個(gè)源，如果Referer是同源的那么這個(gè)操作是可信的，這個(gè)方法通常用于防止圖片盜鏈，但是有些時(shí)候Referer并不是那么的可靠，服務(wù)器并不是能夠百分之百的獲得，比如如果用戶啟用了瀏覽器的隱私策略那么瀏覽器就有可能阻止發(fā)送Referer，服務(wù)器就有可能無法獲取到這個(gè)值，所以這個(gè)方式不符合科學(xué)嚴(yán)謹(jǐn)?shù)脑瓌t；

3.使用token（隨機(jī)令牌）

服務(wù)器生成一個(gè)隨機(jī)令牌，并保存起來，可以保存在服務(wù)端的session集合里邊，或者保存在客戶端的cookie、或者頁(yè)面視圖狀態(tài)中都是可以的，由于瀏覽器的同源策略，惡意網(wǎng)站無法讀取到目標(biāo)網(wǎng)站的cookie和頁(yè)面視圖狀態(tài)，然后把隨機(jī)令牌隨表單一起提交并在服務(wù)端驗(yàn)證隨機(jī)令牌的有效性；