溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

什么是CSRF?

發(fā)布時間:2020-07-11 14:36:54 來源:億速云 閱讀:146 作者:Leah 欄目:web開發(fā)

這篇文章將為大家詳細(xì)講解有關(guān)什么是CSRF?文章內(nèi)容質(zhì)量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

什么是 CSRF

在了解 CSRF 之前我們需要科普兩個前提。首先是登錄權(quán)限驗(yàn)證的方式有很多種,目前絕大多數(shù)網(wǎng)站采用的還是 session 會話任務(wù)的方式。session 機(jī)制簡單的來說就是服務(wù)端使用一個鍵值對記錄登錄信息,同時在 cookie 中將 session id(即剛才說的鍵)存儲到 cookie 中。另外我們又知道瀏覽器中 HTTP(s) 請求是會自動幫我們把 cookie 帶上傳給服務(wù)端的。這樣在每次請求的時候通過 cookie 獲取 session id,然后通過它在服務(wù)端獲取登錄信息即可完成用戶權(quán)限的校驗(yàn)。

本來這也是個不錯的功能。但是由于 cookie 實(shí)在是太開放了,如果一個用戶在 A 網(wǎng)站登錄了,如果用戶在 B 網(wǎng)站訪問的時候發(fā)送了一個 A 網(wǎng)站的請求,那么這個請求其實(shí)是帶有這個用戶在 A 網(wǎng)站的登錄信息的。如果這時候 B 站的 A 網(wǎng)站請求是用戶不知道的,那就是非常嚴(yán)重的危害了。以上的過程就是跨站請求攻擊,即 Cross-Site Request Forgery,即 CSRF。

CSRF 的危害

簡單總結(jié) CSRF 漏洞就是利用網(wǎng)站權(quán)限校驗(yàn)方面的漏洞在用戶不知覺的情況下發(fā)送請求,達(dá)到“偽裝”用戶的目的。攻擊者利用 CSRF 實(shí)現(xiàn)的攻擊主要有以下幾種:

攻擊者能夠欺騙受害用戶完成該受害者所允許的任一狀態(tài)改變的操作,比如:更新賬號細(xì)節(jié),完成購物,注銷甚至登錄等操作

獲取用戶的隱私數(shù)據(jù)

配合其他漏洞攻擊

CSRF 蠕蟲

其中 CSRF 蠕蟲如其名所指就是產(chǎn)生蠕蟲效果,會將 CSRF 攻擊一傳十,十傳百。如:某社區(qū)私信好友的接口和獲取好友列表的接口都存在CSRF漏洞,攻擊者就可以將其組合成一個CSRF蠕蟲——當(dāng)一個用戶訪問惡意頁面后通過CSRF獲取其好友列表信息,然后再利用私信好友的CSRF漏洞給其每個好友發(fā)送一條指向惡意頁面的信息,只要有人查看這個信息里的鏈接,CSRF蠕蟲就會不斷傳播下去,其可能造成的危害和影響非常巨大!

防御方法

從上文的描述中我們可以知道 CSRF 有兩個特點(diǎn):利用 cookie 自動攜帶的特性以及跨站攻擊。那么針對這兩個特性可以使用如下解決方法。

檢查 Referer 字段

大家都知道 HTTP 頭中有一個 Referer 字段,這個字段用以標(biāo)明請求來源于哪個地址。通過在網(wǎng)站中校驗(yàn)請求的該字段,我們能知道請求是否是從本站發(fā)出的。我們可以拒絕一切非本站發(fā)出的請求,這樣避免了 CSRF 的跨站特性。

const { parse } = require('url');module.exports = class extends think.Logic {
  indexAction() {
    const referrer = this.ctx.referrer();
    const {host: referrerHost} = parse(referrer);
    if(referrerHost !== 'xxx') {
        return this.fail('REFERRER_ERROR');
    }
  }}

同樣以 ThinkJS 為例,只要在 Logic 中簡單判斷下即可。這種方式利用了客戶端無法構(gòu)造 Referrer 的特性,雖然簡單,不過當(dāng)網(wǎng)站域名有多個,或者經(jīng)常變換域名的時候會變得非常的麻煩,同時也具有一定的局限性。

Token 驗(yàn)證

由于 CSRF 是利用了瀏覽器自動傳遞 cookie 的特性,另外一個防御思路就是校驗(yàn)信息不通過 cookie 傳遞,在其他參數(shù)中增加隨機(jī)加密串進(jìn)行校驗(yàn)。這里又有兩種辦法:

隨機(jī)字符串:為每一個提交增加一個隨機(jī)串參數(shù),該參數(shù)服務(wù)端通過頁面下發(fā),每次請求的時候補(bǔ)充到提交參數(shù)中,服務(wù)端通過校驗(yàn)該參數(shù)是否一致來判斷是否是用戶請求。由于 CSRF 攻擊中攻擊者是無從事先得知該隨機(jī)字符串的值,所以服務(wù)端就可以通過校驗(yàn)該值拒絕可以請求。

JWT:實(shí)際上除了 session 登錄之外,現(xiàn)在越來越流行 JWT token 登錄校驗(yàn)。該方式是在前端記錄登錄 token,每次請求的時候通過在 Header 中添加認(rèn)證頭的方式來實(shí)現(xiàn)登錄校驗(yàn)過程。由于 CSRF 攻擊中攻擊者無法知道該 token 值,通過這種方式也是可以防止 CSRF 攻擊的。當(dāng)然 token 登錄方式除了 JWT 之外還有 OAuth 等很多種方式。

關(guān)于什么是CSRF?就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,可以學(xué)到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI