CSRF攻击揭秘与防护 打破浏览器的信任陷阱

2.3 跨站请求伪造（CSRF）防护

什么是CSRF？

跨站请求伪造（CSRF）是一种恶意攻击手段，攻击者诱骗用户在已登录的Web应用中执行非预期的操作。例如，用户登录银行网站后，误点击恶意链接，导致攻击者以用户身份发起转账请求。这种攻击利用的是浏览器对用户会话的自动信任机制。

攻击原理

1. 依赖会话Cookie：用户登录后，浏览器会存储会话Cookie，后续请求自动携带该Cookie。
2. 伪造请求：攻击者构造一个恶意页面（如隐藏的表单或图片链接），诱导用户触发。
3. 服务器误判：由于请求携带合法Cookie，服务器无法区分是否为用户真实意图。

防护策略

1. 使用CSRF Token

• 核心思想：为每个表单或敏感请求生成唯一的随机令牌（Token），服务器验证该令牌的合法性。
• 实现方式：
  • 用户访问页面时，服务器生成Token并嵌入表单（如<input type="hidden" name="csrf_token" value="随机字符串">）。
  • 提交表单时，服务器比对Token与会话中存储的值，不一致则拒绝请求。
• 优势：攻击者无法预测或窃取Token，伪造请求失效。

2. 同源策略（SameSite Cookie）

• 通过设置Cookie的SameSite属性，限制第三方网站发起的请求携带Cookie：
  • SameSite=Strict：完全禁止第三方请求携带Cookie。
  • SameSite=Lax：仅允许安全方法（如GET）的顶级导航携带Cookie。
• 适用场景：兼容现代浏览器，但对旧版浏览器支持有限。

3. 验证HTTP Referer/Origin头部

• 检查请求来源是否为合法域名：
  • Referer头部应匹配预期域名（但可能被篡改或缺失）。
  • Origin头部更可靠（适用于AJAX请求）。
• 局限性：依赖客户端信息，隐私设置可能影响其准确性。

4. 二次确认机制

• 对敏感操作（如转账、删除）要求用户二次输入密码或验证码。
• 用户体验权衡：安全性提升，但操作流程变复杂。

实际应用示例

• Django框架：内置{% csrf_token %}模板标签，自动处理Token生成与验证。
• Spring Security：通过CsrfFilter默认启用CSRF防护。

文末点睛

CSRF如一场“身份盗窃”的魔术，攻击者借用户之手完成恶意操作。防护的关键在于打破“浏览器自动信任”的链条——无论是Token的暗号验证，还是Cookie的缄默约束，皆为在便捷与安全间筑起一道透明的墙。技术之外，开发者需时刻警惕：信任，但验证（Trust, but verify）。