Web应用中的CSRF防护机制

什么是CSRF攻击?

CSRF (Cross-site request forgery) 跨站请求伪造是一种常见的网络攻击方式。攻击者诱导用户访问已被攻击者控制的网页时,利用用户在被攻击网站已经获取的注册凭证,绕过后台的用户验证,冒充用户对被攻击的网站发起某种操作。

CSRF攻击的特点

  1. 依赖用户已登录目标网站
  2. 利用目标网站对用户浏览器的信任
  3. 欺骗用户的浏览器发送HTTP请求给目标网站
  4. 攻击一般发生在第三方网站上

防护措施

1. 验证 HTTP Referer 字段

javascript 复制代码
// 服务器端验证 Referer
const referer = ctx.request.headers.referer;
if (!referer || !referer.startsWith('https://trusted-domain.com')) {
  ctx.throw(403, 'Invalid referer');
}

优点:

  • 实现简单
  • 兼容性好

缺点:

  • Referer 可能被篡改
  • 某些浏览器可能会禁用 Referer

2. 添加 CSRF Token

javascript 复制代码
// 生成 token
const token = crypto.randomBytes(24).toString('hex');

// 在表单中嵌入 token
<input type="hidden" name="_csrf" value="<%= token %>">

// 服务器端验证
if (req.body._csrf !== req.session.csrf) {
  return res.status(403).json({ message: 'Invalid CSRF token' });
}

优点:

  • 安全性高
  • 完全可控

缺点:

  • 需要在每个表单中添加 token
  • 增加了开发成本
javascript 复制代码
// 设置 Cookie
res.cookie('sessionId', 'abc123', {
  sameSite: 'Strict',  // 或 'Lax'
  secure: true
});

优点:

  • 配置简单
  • 浏览器原生支持

缺点:

  • 浏览器兼容性问题
  • 可能影响某些正常的跨站请求
javascript 复制代码
// 在页面中通过 JavaScript 读取 cookie 中的 csrf_token
const csrfToken = document.cookie.match(/csrf_token=(.*?);/)[1];

// 将 token 添加到请求头
fetch('/api/data', {
  headers: {
    'X-CSRF-Token': csrfToken
  }
});

最佳实践建议

  1. 组合使用多种防护措施
  2. 对重要操作使用验证码或二次确认
  3. 使用 HTTPS 确保传输安全
  4. 定期更新 CSRF Token
  5. 合理设置 Cookie 的作用域和有效期

示例代码:Express 中间件实现 CSRF 防护

javascript 复制代码
const express = require('express');
const csrf = require('csurf');
const cookieParser = require('cookie-parser');

const app = express();

// 解析 Cookie
app.use(cookieParser());

// 启用 CSRF 防护
app.use(csrf({ cookie: true }));

// 错误处理
app.use((err, req, res, next) => {
  if (err.code === 'EBADCSRFTOKEN') {
    res.status(403);
    res.send('CSRF 验证失败');
  } else {
    next(err);
  }
});

// 在表单中注入 token
app.get('/form', (req, res) => {
  res.send(`
    <form action="/submit" method="POST">
      <input type="hidden" name="_csrf" value="${req.csrfToken()}">
      <button type="submit">提交</button>
    </form>
  `);
});

总结

CSRF 攻击虽然危害严重,但通过合理的防护措施可以有效预防。选择合适的防护方案时需要考虑:

  • 系统的安全需求级别
  • 开发维护成本
  • 用户体验影响
  • 浏览器兼容性

建议在实际项目中采用多层防护机制,并根据具体场景选择最适合的防护措施组合。

相关推荐
前端大白话16 分钟前
救命!这10个Vue3技巧藏太深了!性能翻倍+摸鱼神器全揭秘
前端·javascript·vue.js
嘻嘻嘻嘻嘻嘻ys18 分钟前
《Vue 3全栈架构实战:Vite工程化、Pinia状态管理与Nuxt 3深度解析》
前端·后端
前端大白话19 分钟前
前端人必看!10个JavaScript“救命”技巧,让你告别加班改Bug
前端·javascript·程序员
cg501730 分钟前
Vue回调函数中的this
前端·javascript·vue.js
前端太佬32 分钟前
从零到一实现扫码登录:一个前端菜鸟的踩坑实录
前端·javascript·架构
yuanmenglxb200442 分钟前
微信小程序核心技术栈
前端·javascript·vue.js·笔记·微信小程序·小程序
爱编程的鱼43 分钟前
如何让 HTML 文件嵌入另一个 HTML 文件:详解与实践
前端·html
JhonKI1 小时前
【Linux网络】构建HTTP响应与请求处理系统 - HttpResponse从理解到实现
linux·网络·http
_09271 小时前
Vue 2 与 Vue 3 的核心区别及 Vue 3 新特性详解
前端
David凉宸1 小时前
一文带你使用Vue完成移动端(apk)项目
前端