CSRF/XSRF(Cross-Site Request Forgery),即跨站请求伪造,也被称为“One Click Attack”或者Session Riding。基本原理是通过伪装来自受信任用户的请求来利用受信任的网站。
×××原理:
如图所示,用户首先访问网站A,通过登录身份验证成功,网站A下发cookie保存在用户的浏览器中。用户又去访问了网站B,网站B在下发用户页面的时候会有一个引诱点击,这个引诱点击一般是一个链接,这个链接一般指向网站A的一个存在漏洞的API接口,尤其这个API接口是GET类型。当用户禁不住诱惑点击了这个引诱点击,这个点击就访问到了A网站,此时浏览器就会自动上传cookie,此时网站A对cookie进行确认,发现是合法用户,此时就会执行这个API的动作(以前微博就出现过CSRF×××,出问题的接口导致很多情况多了很多关注)。
总结
CSRF能造成×××的原理:
用户登录过网站A。
网站A中某一个接口存在着这种漏洞。这两条件缺一不可。
防御措施
1.Token验证
×××原理中访问漏洞接口的时候浏览器只上传了cookie,没有手动的上传一个token。这个token是用户登录注册甚至只是访问网站A,服务器会自动向用户本地存储一个token,在用户访问各个接口的时候,如果没带这个token,服务器就不会通过验证。所以当用户点击引诱链接,这个链接只会自动携带cookie,但是不会自动携带token,这样就能避免×××。
2.Referer验证
Referer,即页面来源。服务器通过判断页面来源是不是自己站点的页面来源,如果是就执行接口动作,如果不是一律拦截。这样也能避免×××。
3.隐藏令牌
类似于Token验证,原理是把token放在HTTP头的自定义属性中,而不是把信息放在链接上,增加了隐蔽性。本质上和Token验证没什么区别,只是用法上的一些区别。