CSRF 攻击是什么？如何防范？

yqcoder2024-07-02 8:10

1. 什么是 CSRF 攻击

跨站请求伪造，利用用户在特定网站上的登录状态。诱导用户在不知情的情况下执行攻击者预定的一些操作。

简单来说，就是攻击者通过受害者浏览器发送一个恶意请求到已经登录的网站。由于浏览器会自动携带这个网站的 cookie 认证信息。网站误认为请求是用户自己发起的。从而执行恶意的操作。比如转账、修改密码、发布内容等。这个就是 CSRF 攻击。

在表单或 ajax 请求中加入一次性 token，服务器在接受请求后，除了验证 cookie 外，还会验证这个 token 是否有效和未被使用过。

服务端验证请求头中的 referer 字段，referer 字段代表请求发送的站点。

对于敏感操作，要求用户二次确认。比如转账，可以让用户在转账前，再次输入密码或验证码确认。

像 VUE 或 React 等都是内置了防止这种攻击的机制。我们需要充分利用它的这个安全特性。

对于 API 接口使用 API 密钥，对请求进行一些合法性的管理，确保接口调用来至授权的这个地址。