你可以这么理解 CSRF 攻击:攻击者盗用了你的跨站跨站身份,以你的请求名义进行恶意请求。它能做的伪造事情有很多包括:以你的名义发送邮件、发信息、脚本盗取账号、攻击购买商品、跨站跨站虚拟货币转账等。请求总结起来就是伪造:个人隐私暴露及财产安全问题。
/* * 阐述 CSRF 攻击思想:(核心2和3) * 1、脚本浏览并登录信任网站(举例:淘宝) * 2、攻击登录成功后在浏览器产生信息存储(举例:cookie) * 3、跨站跨站用户在没有登出淘宝的请求情况下,访问危险网站 * 4、伪造危险网站中存在恶意代码,脚本代码为发送一个恶意请求(举例:购买商品/余额转账) * 5、攻击携带刚刚在浏览器产生的信息进行恶意请求 * 6、淘宝验证请求为合法请求(区分不出是否是该用户发送) * 7、达到了恶意目标 */
防御措施(推荐添加token / HTTP头自定义属性)
- 涉及到数据修改操作严格使用 post 请求而不是 get 请求
- HTTP 协议中使用 Referer 属性来确定请求来源进行过滤(禁止外域)
- 请求地址添加 token ,使黑客无法伪造用户请求
- HTTP 头自定义属性验证(类似上一条)
- 显示验证方式:添加验证码、密码等
- XSS/CSS(跨站脚本攻击)
- 持久型XSS:将脚本植入到服务器上,从而导致每个访问的用户都会执行
- 非持久型XSS:对个体用户某url的参数进行攻击
- 现代大部分浏览器都自带 XSS 筛选器,vue / react 等成熟框架也对 XSS 进行一些防护
- 即便如此,我们在开发时也要注意和小心
- 对用户输入内容和服务端返回内容进行过滤和转译
- 重要内容加密传输
- 合理使用get/post等请求方式
- 对于URL携带参数谨慎使用
- 我们无法做到彻底阻止,但是能增加黑客攻击成本,当成本与利益不符时自然会降低风险
