web安全 - CSRF

跨站请求伪造CSRF (Cross Site Request Forgery):是一种利用用户身份认证漏洞,骗取服务器信任,让受害者在不知情的情况下,执行攻击者指定的恶意请求。

攻击原理

  1. 用户登录A网站,浏览器保存了用于身份认证的Cookie
  2. 攻击者诱导用户访问B网站。
  3. B网站"静悄悄"地向A网站发送请求,浏览器自动携带用户的Cookie进行身份认证。
  4. 用户账号被攻击者"控制",例如转账、删除资源等。

示例

用户在 meow.com 登录账号(此时Cookie仍然有效)

攻击者在自己的钓鱼网站上嵌入了一张恶意图片:

html 复制代码
<img src="https://meow.com/transfer?to=attacker&amount=5000">

或构造一个form表单,然后利用Javascript自动提交

html 复制代码
<p>只是和你开个小玩笑👿,新年快乐🎉</p>

<form id="myForm" action="https://meow.com/transfer">
    <input type="hidden" name="to" value="attacker">
    <input type="hidden" name="amount" value="5000">
</form>

<script>
    document.getElementById('myForm').submit()
</script>

用户访问后链接后,浏览器会自动带上会话数据(Cookie),导致用户的账户向攻击者转账!

防御

  • 二次认证:在进行某些关键操作时(如转账、删除用户),要求用户进行二次登录或者输入验证。
  • 设置sameSite=Strict,限制Cookie只能在同源站点提交,防止跨站滥用。

Koa设置CookieSameSite属性:

javascript 复制代码
ctx.cookies.set('sessionId', sessionId, {
    path: '/',
    httpOnly: true,
    secure: false,
    sameSite: 'strict',
})
  • Token认证:服务器生成随机的Token,并在表单或请求中携带,服务器在收到请求时验证Token。

前端提交服务器返回的CSRF Token

html 复制代码
<form method="POST" action="https://meow.com/login">
  <input type="hidden" name="_csrf" value="token">
  <input type="submit" value="登录">
</form>
相关推荐
狂炫冰美式5 分钟前
人均配了AI, 为什么公司还是没变快? 🤔 本质还是分布式系统问题
前端·后端·架构
乘风gg1 小时前
多 Agent 不是万能的!搞懂这 5 个原则,少走 1 年弯路!
前端·agent·ai编程
猩猩程序员2 小时前
Vercel 推出 Agent 框架 Eve:让 AI Agent 像写 Web 应用一样简单
前端
她的男孩2 小时前
Spring Boot 接 Flowable 工作流:用 3 个注解搭一个请假审批流程
java·后端·架构
爱读源码的大都督2 小时前
Claude Code源码分析(三):为什么系统提示词中需要有tools呢?
前端·人工智能·后端
爱勇宝2 小时前
Claude Code 被曝暗藏“隐形检测”代码:封代理不是最可怕的,可怕的是你根本不知道它在干什么
前端·后端·程序员
小牛不牛的程序员2 小时前
我用 Claude Code 半天撸完了一个完整网站,AI 编程到底提升了多少效率?
前端
东风破_2 小时前
JavaScript 面试常考的字符串算法:从反转字符串到回文判断
前端·javascript
ITOM运维行者3 小时前
从零搭建企业级服务器监控体系:踩坑实录与架构设计
前端·后端
monologues3 小时前
深入 Vue 3 源码:响应式系统的精妙设计与编译优化
前端