CSRF攻击详解和应对策略

CSRF攻击的应对之道

https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/

CSRF概念：CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性。

你可以这样来理解：
       攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。 如下：其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户。
 

CSRF攻击攻击原理及过程如下：

       1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；

       2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；

       3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

       4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；

       5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。 

CSRF背景与介绍

CSRF（Cross Site Request Forgery，跨站域请求伪造）是一种网络的攻击方式，它在2007年曾被列为互联网20大安全隐患之一。

其他安全隐患，比如SQL脚本注入，跨站域脚本攻击等在近年来已经逐渐为众人熟知，很多网站也都针对他们进行了防御。然而，对于大多数人来说，CSRF却依然是一个陌生的概念。即便是大名鼎鼎的Gmail，在2007年底也存在着CSRF漏洞，从而被黑客攻击而使Gmail的用户造成巨大的损失。

CSRF攻击实例

CSRF攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作。比如说，受害者Bob在银行有一笔存款，通过对银行的网站发送请求http：//bank.example/withdraw？account = bob＆amount = 1000000＆for = bob2可以使Bob把1000000的存款转到bob2的账号下。通常情况下，该请求发送到网站后来，服务器会先验证该请求是否来自一个合法的会话，并且该会议的用户Bob已经成功登陆。黑客Mallory自己在该银行也有账户，他知道上文中的URL可以把钱进行转帐操作.Mallory可以自己发送一个请求给银行：http：//bank.example/withdraw？account = bob＆amount = 1000000＆for = Mallory。但是这个请求来自Mallory而非Bob，他不能通过安全认证，因此该请求不会起作用。这时， Mallory想到使用CSRF的攻击方式，他先自己做一个网站，在网站中 入如下代码：SRC =” HTTP：//bank.example/withdraw帐户= Bob的量= 1000000＆

CSRF攻击的对象

CSRQ攻击的对象，也就是要保护的对象。也看不到cookie的内容。另外，对于服务器返回的结果，由于浏览器同源策略的限制，黑客也无法进行解析。因此，黑客无法从返回的结果中得到任何东西，他所能做的就是给服务器发送请求，以执行请求中所描述的命令，在服务器端直接改变数据的值，而非窃取服务器中的数据。所以，我们要保护的对象是那些可以直接产生数据改变的服务，而对于读取数据的服务，则不需要进行CSRF的保护。比如银行系统中转账的请求会直接改变账户的金额，会遭到CSRF攻击，需要保护。而查询余额是对金额的读取操作，不会改变数据，CSRF攻击无法解析服务器返回的结果，无需保护

当前防御CSRF的几种策略

在企业目前防御CSRF攻击主要有三种策略：验证HTTP Referer字段;在请求地址中添加令牌并验证;在HTTP头中自定义属性并验证。下面就分别对这三种策略进行详细介绍。

验证HTTP Referer字段

根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求来自于同一个网站，比如需要访问http：// bank.example / withdraw？account = bob＆amount = 1000000＆for = Mallory，用户必须先登陆bank.example，然后通过点击页面上的按钮来触发转账事件。这时，该转帐请求的Referer值就会是转账按钮所在的页面的URL，通常是以bank.example域名开头的地址。而如果黑客要对银行网站实施CSRF攻击，他只能在他自己的网站构造请求，当用户通过黑客的网站发送请求到银行时，该请求的Referer是指向黑客自己的网站。因此，要防御CSRF攻击，银行网站只需要对于每一个转账请求验证其参考值，如果是以bank.example开头的域名，则说明该请求是来自银行网站自己的请求，是合法的。如果Referer是其他网站的话，则有可能 是黑客的CSRF攻击，拒绝该请求。

这种方法的显而易见的好处就是简单易行，网站的普通开发人员不需要操心CSRF的漏洞，只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查Referer的值就可以。特别是对于当前现有的系统，不需要改变当前系统的任何已有代码和逻辑，没有风险，非常便捷。

然而，这种方法并非万无一失.Referer的值是由浏览器提供的，虽然HTTP协议上有明确的要求，但是每个浏览器对于Referer的具体实现可能有差别，并不能保证浏览器自身没有安全漏洞。使用验证Referer值的方法，就是把安全性都依赖于第三方（即浏览器）来保障，从理论上来讲，这样并不安全。事实上，对于某些浏览器，比如IE6或FF2，目前已经有一些方法可以篡改Referer值。如果bank.example网站支持IE6浏览器，黑客完全可以把用户浏览器的Referer值设为以bank.example域名开头的地址，这样就可以通过验证，从而进行CSRF攻击。

即便是使用最新的浏览器，黑客无法篡改Referer值，这种方法仍然有问题。因为Referer值会记录下用户的访问来源，有些用户认为这样会侵犯到他们自己的隐私权，特别是有些组织担心Referer值会借组织内网中的某些信息泄露到外网中。因此，用户自己可以设置浏览器使其在发送请求时不再提供Referer。当他们正常访问银行网站时，网站会因为请求没有Referer值而认为是CSRF攻击，拒绝合法用户的访问。

在请求地址中添加令牌并验证

CSRF攻击之所以能够成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于cookie中，因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie来通过安全验证。要抵御CSRF，关键在于请求中放入黑客所不能伪造的信息，并且该信息不存在于cookie之中。可以在HTTP请求中以参数的形式加入一个随机产生的令牌，并在服务器端建立一个拦截器来验证这个令牌，如果请求中没有令牌或者令牌内容不正确，则认为可能是CSRF攻击而拒绝该请求。

这种方法要比检查Referer要安全一些，令可以在用户登陆后产生并放于会话之中，然后在每次请求时把令从会话中拿出，与请求中的令牌进行比对，但这种方法的难点在于如何把令以参数的形式加入请求。对于GET请求，令牌将附在请求地址之后，这样URL就变成http：// url？csrftoken = tokenvalue。而对于POST请求来说，要在form的最后加上<input type =“hidden”name =“csrftoken”value =“tokenvalue”/>，这样就把token以参数的形式加入请求了。但是，在一个网站中，可以接受请求的地方非常多，要对于每一个请求都加上令牌很麻烦的，并且很容易漏掉，通常使用的方法就是在每次页面加载时，使用javascript遍历整个dom树，对于dom中所有的和和形式标签后加入令牌。这样可以解决大部分的请求，但是对于在页面加载之后动态生成的html代码，这种 法就没有作用，还需要程序员在编码时手动添加标记。

该方法还有一个缺点是难以保证令牌本身的安全。特别是在一些论坛之类支持用户自己发表内容的网站，黑客可以在上面发布自己个人网站的地址。由于系统也会在这个地址后面加上令牌，黑客可以在自己的网站上得到这个令牌，并马上就可以发动CSRF攻击。为了避免这一点，系统可以在添加令牌的时候增加一个判断，如果这个链接是链到自己本站的，就在后面添加令牌，如果是通向外网则不加。不过，即使这个csrftoken不以参数的形式附加在请求之中，黑客的网站也同样可以通过Referer来得到这个令值以发动CSRF攻击。这也是一些用户喜欢手动关闭浏览器Referer功能的原因。

在HTTP头中自定义属性并验证

这种方法也是使用令并进行验证，和上一种方法不同的是，这里并不是把令以参数的形式置于HTTP请求之中，而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类，可以一次性给所有该类请求加上csrftoken这个HTTP头属性，并把令牌值放入其中。这样解决了上种方法在请求中加入令牌的不便，同时，通过XMLHttpRequest请求的地址不会被记录到浏览器的地址栏，也不用担心令会透过Referer泄露到其他网站中去。

然而这种方法的局限性非常大.XMLHttpRequest请求通常用于Ajax方法中对于页面局部的异步刷新，并非所有的请求都适合用这个类来发起，而且通过该类请求得到的页面不能被浏览器所记录下，从而进行前进，后退，刷新，收藏等操作，给用户带来不便。另外，对于没有进行CSRF防护的遗留系统来说，要采用这种方法来进行防护，要把所有请求都改为XMLHttpRequest请求，这样几乎是要重写整个网站，这代价无疑是不能接受的。

Java代码示例

下文将以Java为例，对上述三种方法分别用代码进行示例。无论使用何种方法，在服务器端的拦截器必不可少，它将负责检查到来的请求是否符合要求，然后视结果而决定是否继续请求或者丢弃。在Java中，拦截器是由Filter来实现的。我们可以编写一个过滤器，并在web.xml中对其进行配置，使其对于访问所有需要CSRF保护的资源的请求进行拦截。

在filter中对请求的Referer验证代码如下

清单1.在Filter中验证Referer

1 2 3 4 五 6 7 8

// 从 HTTP 头中取得 Referer 值 String referer=request.getHeader("Referer"); // 判断 Referer 是否以 bank.example 开头 if((referer!=null) &&(referer.trim().startsWith(“bank.example”))){    chain.doFilter(request, response); }else{    request.getRequestDispatcher(“error.jsp”).forward(request,response); }

以上代码先取得Referer值，然后进行判断，当其非空并以bank.example开头时，则继续请求，否则的话可能是CSRF攻击，转到error.jsp页面。

如果要进一步验证请求中的令牌值，代码如下

清单2.在filter中验证请求中的令牌

1 2 3 4 五 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

HttpServletRequest req = (HttpServletRequest)request; HttpSession s = req.getSession(); // 从 session 中得到 csrftoken 属性 String sToken = (String)s.getAttribute(“csrftoken”); if(sToken == null){    // 产生新的 token 放入 session 中    sToken = generateToken();    s.setAttribute(“csrftoken”,sToken);    chain.doFilter(request, response); } else{    // 从 HTTP 头中取得 csrftoken    String xhrToken = req.getHeader(“csrftoken”);    // 从请求参数中取得 csrftoken    String pToken = req.getParameter(“csrftoken”);    if(sToken != null && xhrToken != null && sToken.equals(xhrToken)){        chain.doFilter(request, response);    }else if(sToken != null && pToken != null && sToken.equals(pToken)){        chain.doFilter(request, response);    }else{        request.getRequestDispatcher(“error.jsp”).forward(request,response);    } }

首先判断会话中有没有csrftoken，如果没有，则认为是第一次访问，会话是新建立的，这时生成一个新的令牌，放于会话之中，并继续执行请求。如果会话中已经有csrftoken ，则说明用户已经与服务器之间建立了一个活跃的会话，这时要看这个请求中有没有同时附带这个令牌，由于请求可能来自于常规的访问或是XMLHttpRequest异步访问，我们分别尝试从请求中获取csrftoken参数以及从HTTP头中获取csrftoken自定义属性并与会话中的值进行比较，只要有一个地方带有效令牌，就判定请求合法，可以继续执行，否则就转到错误页面。生成令牌有很多种方法，任何的随机算法都可以使用，Java的UUID类也是一个不错的选择。

除了在服务器端利用filter来验证令牌的值以外，我们还需要在客户端给每个请求附加上这个令牌，这是利用js来给html中的链接和表单请求地址附加csrftoken代码，其中已定义令牌为全局变量，其值可以从session中得到。

清单3.在客户端对于请求附加令牌

1 2 3 4 五 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 三十 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62

function appendToken(){    updateForms();    updateTags(); } function updateForms() {    // 得到页面中所有的 form 元素    var forms = document.getElementsByTagName('form');    for(i=0; i<forms.length; i++) {        var url = forms[i].action;        // 如果这个 form 的 action 值为空，则不附加 csrftoken        if(url == null || url == "" ) continue;        // 动态生成 input 元素，加入到 form 之后        var e = document.createElement("input");        e.name = "csrftoken";        e.value = token;        e.type="hidden";        forms[i].appendChild(e);    } } function updateTags() {    var all = document.getElementsByTagName('a');    var len = all.length;    // 遍历所有 a 元素    for(var i=0; i<len; i++) {        var e = all[i];        updateTag(e, 'href', token);    } } function updateTag(element, attr, token) {    var location = element.getAttribute(attr);    if(location != null && location != '' '' ) {        var fragmentIndex = location.indexOf('#');        var fragment = null;        if(fragmentIndex != -1){            //url 中含有只相当页的锚标记            fragment = location.substring(fragmentIndex);            location = location.substring(0,fragmentIndex);        }                 var index = location.indexOf('?');        if(index != -1) {            //url 中已含有其他参数            location = location + '&csrftoken=' + token;        } else {            //url 中没有其他参数            location = location + '?csrftoken=' + token;        }        if(fragment != null){            location += fragment;        }                 element.setAttribute(attr, location);    } }

在客户端html中，主要是有两个地方需要加上令牌，一个是表单形式，另一个就是链接a。这段代码首先遍历所有的形式，在形式最后添加一隐藏字段，把csrftoken放入其中。然后，代码遍历所有的链接标记a，在其href属性中加入csrftoken参数。注意对于a.href来说，可能该属性已经有参数，或者有锚标记。因此需要分情况讨论，以不同的格式把csrftoken加入其中。

如果你的网站使用XMLHttpRequest，那么还需要在HTTP头中自定义csrftoken属性，利用dojo.xhr给XMLHttpRequest加上自定义属性代码如下：

清单4.在HTTP头中自定义属性

1 2 3 4 五 6 7 8 9 10 11 12 13 14

var plainXhr = dojo.xhr; // 重写 dojo.xhr 方法 dojo.xhr = function(method,args,hasBody) {    // 确保 header 对象存在    args.headers = args.header || {};             tokenValue = '<%=request.getSession(false).getAttribute("csrftoken")%>';    var token = dojo.getObject("tokenValue");         // 把 csrftoken 属性放到头中    args.headers["csrftoken"] = (token) ? token : "  ";    return plainXhr(method,args,hasBody); };

这里改写了dojo.xhr的方法，首先确保dojo.xhr中存在HTTP头，然后在args.headers中添加csrftoken字段，并把令牌从会话里拿出放入字段中。

CSRF防御方法选择之道

通过上文讨论可知，目前业界应对CSRF攻击有一些克制方法，但是每种方法都有利弊，没有一种方法是完美的。如何选择合适的方法非常重要。如果选择合适的方法非常重要。如果网站是一个现有系统，想要在最短时间内获得一定程度的CSRF的保护，那么验证Referer的方法是最方便的，要想增加安全性的话，可以选择不支持低版本浏览器，毕竟就目前来说，I​​E7 +，FF3 +这类高版本浏览器的Referer值还无法被篡改。

如果系统必须支持IE6，并且仍然需要高安全性。那么就要使用令牌来进行验证，在大部分情况下，使用XmlHttpRequest并不合适，令牌只能以参数的形式放于请求之中，若你的系统不支持用户自己发布信息，那这种程度的防护已经足够，否则的话，你仍然难以防范令被黑客窃取并发动攻击。在这种情况下，你需要小心规划你网站提供的各种服务，从中间找出那些允许用户自己发布信息的部分，把它们与其他服务分开，使用不同的令牌进行保护，这样可以有效抵御黑客对于你关键服务的攻击，把危害降到最低。毕竟，删除别人一个帖子比直接从别人账号中转走大笔存款严重程度要轻的多。

如果是开发一个全新的系统，则抵御CSRF的选择要大得多。笔者建议对于重要的服务，可以尽量使用XMLHttpRequest来访问，这样增加令牌容易很多。另外尽量避免在js代码中使用复杂逻辑来构造常规的同步请求来访问需要CSRF保护的资源，比如window.location和document.createElement（“a”）之类，这样也可以减少在附加令牌时产生的不必要的麻烦。

最后，要记住CSRF不是黑客唯一的攻击手段，无论你CSRF防范有多么严密，如果你系统有其他安全漏洞，比如跨站域脚本攻击XSS，那么黑客就可以绕过你的安全防护，展开包括CSRF在内的各种攻击，你的防线将如同虚设。

总结与展望

可见，CSRF是一种危害非常大的攻击，又很难以防范。目前几种防御策略虽然可以很大程度上抵御CSRF的攻击，但并没有一种完美的解决方案。一些新的方案正在研究之中，比如对于每次请求都使用不同的动态口令，把参考和令牌方案结合起来，甚至尝试修改HTTP规范，但是这些新的方案尚不成熟，要正式投入使用并被业界广为接受还需时日。在这之前，我们只有充分重视CSRF，根据系统的实际情况选择最合适的策略，这样才能把CSRF的危害降到最低。