CSRF 簡記

CSRF（Cross-site request forgery）跨站請求僞造，也被稱爲「One Click Attack」或者Session Riding，一般縮寫爲CSRF或者XSRF，是一種對網站的惡意利用。儘管聽起來像跨站腳本（XSS），但它與XSS很是不一樣，XSS利用站點內的信任用戶，而CSRF則經過假裝成受信任用戶的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊每每不大流行（所以對其進行防範的資源也至關稀少）和難以防範，因此被認爲比XSS更具危險性。 -----百度百科

 

CSRF攻擊的本質緣由

CSRF攻擊是源於Web的隱式身份驗證機制！Web的身份驗證機制雖然能夠保證一個請求是來自於某個用戶的瀏覽器，但卻沒法保證該請求是用戶批准發送的。CSRF攻擊的通常是由服務端解決。

 

CSRF工具的防護手段

1. 儘可能使用POST，限制GET GET接口太容易被拿來作CSRF攻擊，看第一個示例就知道，只要構造一個img標籤，而img標籤又是不能過濾的數據。接口最好限制爲POST使用，GET則無效，下降攻擊風險。 固然POST並非萬無一失，攻擊者只要構造一個form就能夠，但須要在第三方頁面作，這樣就增長暴露的可能性。

2. 瀏覽器Cookie策略 IE六、七、八、Safari會默認攔截第三方本地Cookie（Third-party Cookie）的發送。可是Firefox二、三、Opera、Chrome、Android等不會攔截，因此經過瀏覽器Cookie策略來防護CSRF攻擊不靠譜，只能說是下降了風險。 PS：Cookie分爲兩種，Session Cookie（在瀏覽器關閉後，就會失效，保存到內存裏），Third-party Cookie（即只有到了Exprie時間後纔會失效的Cookie，這種Cookie會保存到本地）。 PS：另外若是網站返回HTTP頭包含P3P Header，那麼將容許瀏覽器發送第三方Cookie。

3. 加驗證碼 驗證碼，強制用戶必須與應用進行交互，才能完成最終請求。在一般狀況下，驗證碼能很好遏制CSRF攻擊。可是出於用戶體驗考慮，網站不能給全部的操做都加上驗證碼。所以驗證碼只能做爲一種輔助手段，不能做爲主要解決方案。

4. Referer Check Referer Check在Web最多見的應用就是「防止圖片盜鏈」。同理，Referer Check也能夠被用於檢查請求是否來自合法的「源」（Referer值是不是指定頁面，或者網站的域），若是都不是，那麼就很可能是CSRF攻擊。 可是由於服務器並非何時都能取到Referer，因此也沒法做爲CSRF防護的主要手段。可是用Referer Check來監控CSRF攻擊的發生，卻是一種可行的方法。

5. Anti CSRF Token 如今業界對CSRF的防護，一致的作法是使用一個Token（Anti CSRF Token）。

例子：

1. 用戶訪問某個表單頁面。

2. 服務端生成一個Token，放在用戶的Session中，或者瀏覽器的Cookie中。

3. 在頁面表單附帶上Token參數。

4. 用戶提交請求後， 服務端驗證表單中的Token是否與用戶Session（或Cookies）中的Token一致，一致爲合法請求，不是則非法請求。 這個Token的值必須是隨機的，不可預測的。因爲Token的存在，攻擊者沒法再構造一個帶有合法Token的請求實施CSRF攻擊。另外使用Token時應注意Token的保密性，儘可能把敏感操做由GET改成POST，以form或AJAX形式提交，避免Token泄露。