Web 安全之 CSRF

继续 Web 安全系列第二篇，上一篇：Web 安全之 XSS

CSRF 简介

CSRF（Cross-Site Request Forgery），名为：跨站请求伪造攻击。

那么 CSRF 到底能够干嘛呢？

你可以这样简单的理解：攻击者可以盗用你的登陆信息，以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计。

例如通过 QQ 等聊天软件发送的链接(有些还伪装成短域名，用户无法分辨)，攻击者就能迫使 Web 应用的用户去执行攻击者预设的操作。例如，当用户登录网络银行去查看其存款余额，在他没有退出时，就点击了一个 QQ 好友发来的链接，那么该用户银行帐户中的资金就有可能被转移到攻击者指定的帐户中。

CSRF 原理

下图大概描述了 CSRF 攻击的原理：

1. 用户已经登录了站点 A，并在本地记录了 cookie

2 . 在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点 A)。

3 . 站点 A 没有做任何 CSRF 防御

预防 CSRF

CSRF 的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的 CSRF 防御也都在服务端进行。服务端的预防 CSRF 攻击的方式方法有多种，但思路上都是差不多的，主要从以下两个方面入手 :

1 . 正确使用 GET，POST 请求和 cookie

2 . 在非 GET 请求中增加 token

CSRF 的防御可以根据应用场景的不同自行选择。CSRF 的防御工作确实会在正常业务逻辑的基础上带来很多额外的开发量，但是这种工作量是值得的，毕竟用户隐私以及财产安全是产品最基础的根本。