web安全 - CSRF

跨站请求伪造CSRF (Cross Site Request Forgery):是一种利用用户身份认证漏洞,骗取服务器信任,让受害者在不知情的情况下,执行攻击者指定的恶意请求。

攻击原理

  1. 用户登录A网站,浏览器保存了用于身份认证的Cookie
  2. 攻击者诱导用户访问B网站。
  3. B网站"静悄悄"地向A网站发送请求,浏览器自动携带用户的Cookie进行身份认证。
  4. 用户账号被攻击者"控制",例如转账、删除资源等。

示例

用户在 meow.com 登录账号(此时Cookie仍然有效)

攻击者在自己的钓鱼网站上嵌入了一张恶意图片:

html 复制代码
<img src="https://meow.com/transfer?to=attacker&amount=5000">

或构造一个form表单,然后利用Javascript自动提交

html 复制代码
<p>只是和你开个小玩笑👿,新年快乐🎉</p>

<form id="myForm" action="https://meow.com/transfer">
    <input type="hidden" name="to" value="attacker">
    <input type="hidden" name="amount" value="5000">
</form>

<script>
    document.getElementById('myForm').submit()
</script>

用户访问后链接后,浏览器会自动带上会话数据(Cookie),导致用户的账户向攻击者转账!

防御

  • 二次认证:在进行某些关键操作时(如转账、删除用户),要求用户进行二次登录或者输入验证。
  • 设置sameSite=Strict,限制Cookie只能在同源站点提交,防止跨站滥用。

Koa设置CookieSameSite属性:

javascript 复制代码
ctx.cookies.set('sessionId', sessionId, {
    path: '/',
    httpOnly: true,
    secure: false,
    sameSite: 'strict',
})
  • Token认证:服务器生成随机的Token,并在表单或请求中携带,服务器在收到请求时验证Token。

前端提交服务器返回的CSRF Token

html 复制代码
<form method="POST" action="https://meow.com/login">
  <input type="hidden" name="_csrf" value="token">
  <input type="submit" value="登录">
</form>
相关推荐
ZhuAiQuan10 分钟前
[electron]开发环境驱动识别失败
前端·javascript·electron
nyf_unknown15 分钟前
(vue)将dify和ragflow页面嵌入到vue3项目
前端·javascript·vue.js
胡gh18 分钟前
数组开会:splice说它要动刀,map说它只想看看。
javascript·后端·面试
Pure_Eyes19 分钟前
go 常见面试题
开发语言·后端·golang
胡gh28 分钟前
浏览器:我要用缓存!服务器:你缓存过期了!怎么把数据挽留住,这是个问题。
前端·面试·node.js
你挚爱的强哥1 小时前
SCSS上传图片占位区域样式
前端·css·scss
奶球不是球1 小时前
css新特性
前端·css
Nicholas681 小时前
flutter滚动视图之Viewport、RenderViewport源码解析(六)
前端
无羡仙1 小时前
React 状态更新:如何避免为嵌套数据写一长串 ...?
前端·react.js
Cisyam1 小时前
使用Bright Data API轻松构建LinkedIn职位数据采集系统
后端