web安全 - CSRF

跨站请求伪造CSRF (Cross Site Request Forgery):是一种利用用户身份认证漏洞,骗取服务器信任,让受害者在不知情的情况下,执行攻击者指定的恶意请求。

攻击原理

  1. 用户登录A网站,浏览器保存了用于身份认证的Cookie
  2. 攻击者诱导用户访问B网站。
  3. B网站"静悄悄"地向A网站发送请求,浏览器自动携带用户的Cookie进行身份认证。
  4. 用户账号被攻击者"控制",例如转账、删除资源等。

示例

用户在 meow.com 登录账号(此时Cookie仍然有效)

攻击者在自己的钓鱼网站上嵌入了一张恶意图片:

html 复制代码
<img src="https://meow.com/transfer?to=attacker&amount=5000">

或构造一个form表单,然后利用Javascript自动提交

html 复制代码
<p>只是和你开个小玩笑👿,新年快乐🎉</p>

<form id="myForm" action="https://meow.com/transfer">
    <input type="hidden" name="to" value="attacker">
    <input type="hidden" name="amount" value="5000">
</form>

<script>
    document.getElementById('myForm').submit()
</script>

用户访问后链接后,浏览器会自动带上会话数据(Cookie),导致用户的账户向攻击者转账!

防御

  • 二次认证:在进行某些关键操作时(如转账、删除用户),要求用户进行二次登录或者输入验证。
  • 设置sameSite=Strict,限制Cookie只能在同源站点提交,防止跨站滥用。

Koa设置CookieSameSite属性:

javascript 复制代码
ctx.cookies.set('sessionId', sessionId, {
    path: '/',
    httpOnly: true,
    secure: false,
    sameSite: 'strict',
})
  • Token认证:服务器生成随机的Token,并在表单或请求中携带,服务器在收到请求时验证Token。

前端提交服务器返回的CSRF Token

html 复制代码
<form method="POST" action="https://meow.com/login">
  <input type="hidden" name="_csrf" value="token">
  <input type="submit" value="登录">
</form>
相关推荐
Moment5 分钟前
2025 年,构建高质量 React 项目的技术栈参考 🤔🤔🤔
前端·javascript·react.js
盖世英雄酱581367 分钟前
配置的那点玄学
java·后端
Ice__Cai9 分钟前
Django 性能优化详解:从数据库到缓存,打造高效 Web 应用
数据库·后端·python·缓存·性能优化·django
AORO202510 分钟前
国产智能三防手机哪款最好?这款支持单北斗、5G-A、IP68
5g·安全·智能手机·信息与通信·harmonyos
wanhengidc12 分钟前
进一步分析云手机的优势有哪些?
网络·安全·智能手机
陶甜也13 分钟前
MCP-Blender插件的安装和使用
前端·ai·blender
dylan_QAQ14 分钟前
Spring 容器详解
后端·spring
网小鱼的学习笔记16 分钟前
python基础:数据解析BeatuifulSoup,不需要考虑前端形式的一种获取元素的方法
开发语言·前端·python
aiwery19 分钟前
深入理解React hooks:从设计初衷到自定义Hook指南
前端·设计模式
namehu21 分钟前
阿里云 acme.sh install timeout(超时)问题解析与解决方案
linux·前端·https