网络安全防护:跨站点请求伪造(CSRF)

原创 于 2025-06-14 04:17:45 发布 · 1.2k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #csrf #安全

目录

1、概念

2、攻击原理与过程

3、攻击场景示例

3.1 GET请求攻击(较少)

3.2 POST 请求攻击 (最常见)

3.3 AJAX 攻击 (需绕过 CORS)

4、CSRF 攻击成功的关键要素

5、危害分析

6、CSRF 防御措施

6.1 使用 CSRF Tokens (最主流、最有效)

6.2 使用 SameSite Cookie 属性

6.3 双重提交验证

6.4 检查 Referer/Origin 头

6.5 要求用户交互/二次确认

7、现代框架与最佳实践

8、CSRF漏洞测试工具:CSRFTester

1、概念

跨站点请求伪造(Cross-Site Request Forgery,CSRF):攻击者用来通过用户浏览器冒充用户身份向服务器发送伪造请求并被目标服务器成功执行的漏洞。

简单来说,就是攻击者利用用户当前在某个网站(如银行、社交媒体、邮箱)的登录状态(即浏览器的会话 Cookie 或其他身份验证凭证),在用户不知情或未授权的情况下,以该用户的身份执行恶意操作。

2、攻击原理与过程

  • 用户登录: 用户使用浏览器登录到一个受信任的网站(例如 https://bank.com)。登录成功后,该网站会在用户的浏览器中设置一个会话 Cookie(例如 SessionID=abc123),用于标识该用户已通过身份验证。

  • 用户访问恶意网站: 用户在保持 bank.com 登录状态的同时(会话 Cookie 仍然有效),访问了另一个由攻击者控制的网站(例如 https://evil.com)。这可能发生在用户点击了钓鱼邮件中的链接、访问了一个被黑的正常网站,或者浏览了包含恶意广告的页面时。

  • 恶意请求触发: evil.com 的页面包含精心设计的代码(通常是隐藏的表单、自动提交的脚本、<img> 标签、<iframe> 等),这些代码会向 bank.com 发起一个请求。这个请求旨在执行一个敏感操作(例如转账、修改密码、更改邮箱地址、发表评论、购买商品)。

    • 关键点 1:伪造请求。 这个请求是攻击者伪造的,它模拟了用户本人在 bank.com 上执行该操作时浏览器会发出的请求(相同的 URL、方法 GET/POST/PUT/DELETE、参数)。

    • 关键点 2:浏览器自动发送凭证。 由于用户已经登录了 bank.com,浏览器在向 bank.com 域发送请求时,会自动带上该域下的会话 Cookie (SessionID=abc123)。

  • 服务器处理请求: bank.com 的服务器收到这个请求。

    • 它看到请求中包含了有效的会话 Cookie (SessionID=abc123)。

    • 服务器验证 Cookie 有效,确认这是来自“已登录用户”的请求。

    • 服务器没有(或者没有有效的方式)区分这个请求是用户主动在 bank.com 界面上发起的,还是由 evil.com 上的恶意代码偷偷发起的。

    • 服务器认为这是一个合法的用户请求,并执行该操作(例如,将钱转到攻击者的账户)。

  • 攻击完成: 恶意操作在用户不知情的情况下被执行,用户可能直到事后(如收到转账通知)才会发现。

3、攻击场景示例

3.1 GET请求攻击(较少)

  • 假设银行转账可以通过 GET 请求完成:https://bank.com/transfer?to=attacker&amount=1000

  • 攻击者在 evil.com 上放置一个图片标签:<img src="https://bank.com/transfer?to=attacker&amount=1000" width="0" height="0">

  • 用户访问 evil.com 时,浏览器会自动加载该图片,向银行发送 GET 请求。如果用户已登录且银行不检查来源,转账就发生了。

3.2 POST 请求攻击 (最常见)

  • 攻击者在 evil.com 上创建一个隐藏表单:

    <form action="https://bank.com/transfer" method="POST" id="maliciousForm" style="display:none;">
  <input type="hidden" name="to" value="attacker" />
  <input type="hidden" name="amount" value="1000" />
</form>
<script> document.getElementById('maliciousForm').submit(); </script>

  • 用户访问该页面,脚本自动提交表单,浏览器向 bank.com 发送 POST 请求,携带会话 Cookie。

3.3 AJAX 攻击 (需绕过 CORS)

  • 现代应用常用 AJAX。如果目标站点配置的 CORS 策略过于宽松(如允许 evil.com 的源),攻击者可以使用 JavaScript 直接发送 AJAX 请求。

  • 即使 CORS 策略严格,攻击者仍然可以发送“简单请求”(如 GET、特定 Content-Type 的 POST)或使用表单提交模拟 AJAX 行为(因为表单提交不受 CORS 同源策略限制)。

4、CSRF 攻击成功的关键要素

  • 用户已登录目标站点: 目标站点存在有效的用户会话。

  • 目标站点仅依赖 Cookie 等浏览器自动发送的凭证进行身份验证: 服务器只认 Cookie,不要求额外的、攻击者无法预测或获取的凭证(如 CSRF Token)。

  • 目标操作可通过请求(GET/POST/PUT/DELETE)触发: 存在一个执行敏感操作的 API 端点。

  • 攻击者能预测或构造出该操作的请求细节: URL、参数、方法等。

  • 用户访问了包含恶意代码的页面: 攻击者有办法让已登录用户访问到攻击页面。

5、危害分析

  • 在用户不知情的情况下进行资金转账。

  • 更改用户密码、邮箱地址、安全设置。

  • 以用户身份发布内容、发送消息、进行购买。

  • 泄露用户敏感信息(如果请求能触发返回数据)。

  • 破坏用户账户或服务。

6、CSRF 防御措施

6.1 使用 CSRF Tokens (最主流、最有效)

  • 服务器在渲染表单或页面时,生成一个唯一的、不可预测的、与当前用户会话绑定的令牌(Token)。

  • 该令牌作为隐藏字段包含在表单中,或者嵌入在页面的元数据(如 <meta> 标签)中供 JavaScript 读取。

  • 当用户提交表单或发起敏感请求(特别是非 GET 请求)时,必须将这个 CSRF Token 随请求一起发送回服务器(可以放在表单数据、HTTP 头如 X-CSRF-Token 中)。

  • 服务器收到请求后,验证请求中的 Token 是否与会话中存储的 Token 匹配且有效。

  • 为什么有效? 攻击者无法从 evil.com 读取用户当前在 bank.com 页面上的 CSRF Token(受同源策略保护),因此无法在伪造的请求中包含正确的 Token。服务器验证失败,拒绝执行操作。

6.2 使用 SameSite Cookie 属性

  • 在设置会话 Cookie 时,添加 SameSite 属性。

  • SameSite=Strict:最严格,浏览器只会在用户直接从目标站点导航(即 URL 栏输入或点击目标站点链接)时发送 Cookie。来自跨站点的请求(如图片、表单、AJAX)绝不发送 Cookie。安全性最高,但可能影响部分跨站点的合法用户体验(如从邮件链接点回站点)。

  • SameSite=Lax:默认推荐值。允许在安全的顶级导航(如点击链接)和 GET 请求中发送 Cookie,但阻止在跨站点 POST 请求、<iframe> 嵌入、图片、AJAX 等场景中发送 Cookie。能有效防御大多数 CSRF 攻击(特别是基于 POST 的),同时保持较好的用户体验。

  • SameSite=None:Cookie 可以在任何上下文中发送,但必须同时设置 Secure 属性(仅限 HTTPS)。这是最宽松的设置,不提供 CSRF 防护,仅在需要跨站点共享 Cookie 的特定场景下使用(通常需要结合其他防御措施)。

  • 为什么有效? 它限制了浏览器在跨站点请求中自动发送 Cookie 的行为,使得攻击者伪造的请求无法携带关键的会话 Cookie。

6.3 双重提交验证

  • 原理与 CSRF Token 类似,但 Token 同时存储在 Cookie 和表单中(或请求头中)。

  • 服务器验证请求中提交的 Token 是否与 Cookie 中携带的 Token 值一致。

  • 攻击者无法读取或修改目标站点的 Cookie(受同源策略保护),因此无法让两者匹配。

6.4 检查 Referer/Origin 头

  • 服务器在处理敏感请求时,检查 HTTP 请求头中的 Origin 或 Referer 字段。

  • Origin 头通常只存在于跨域请求中,指示发起请求的源(协议+域名+端口)。

  • Referer 头指示请求来源页面的完整 URL。

  • 服务器验证该头部的值是否来自自己的合法域名(https://bank.com)。

  • 局限性:

    • 隐私设置或代理可能阻止浏览器发送这些头。

    • Referer 可能被篡改(虽然浏览器本身会保护它)。

    • 一些旧的或配置不当的浏览器/客户端可能不发送。

    • 通常作为辅助防御手段,不能单独依赖。

6.5 要求用户交互/二次确认

  • 对于关键操作(如转账、改密码),在执行前要求用户输入密码、短信验证码、或进行其他形式的二次确认。

  • 这虽然不是纯粹的 CSRF 防御,但增加了攻击难度,因为攻击者无法诱导用户执行这些交互。

7、现代框架与最佳实践

  • 大多数现代 Web 框架(如 Django, Rails, Spring Security, ASP.NET Core, Express with csurf/csurf替代库等)都内置了 CSRF Token 防御机制,开发者应启用并正确配置它们。

  • 强烈推荐组合使用 SameSite=Lax/Strict Cookie 属性和 CSRF Token。 前者提供了浏览器级别的防护基础,后者提供了应用级别的深度防御。这是当前最健壮的防御组合。

  • 避免使用 GET 请求执行状态修改操作。遵循 RESTful 原则(GET 用于读取,POST/PUT/DELETE 用于修改)。

8、CSRF漏洞测试工具:CSRFTester

核心原理:通过本地代理(默认端口8008)捕获浏览器所有HTTP请求及表单数据,允许修改参数后重新提交(相当于一次伪造客户端请求),验证服务器是否接受伪造请求。此工具也可以被用来进行CSRF攻击,

操作流程

  1. 启动工具并设置浏览器代理指向127.0.0.1:8008

  2. 点击Start Recording录制用户操作(如登录、修改信息);

  3. 修改表单内容(如账户名、转账金额);

  4. 生成HTML格式的PoC页面并触发提交,观察服务器响应

典型场景:快速验证表单类操作的CSRF漏洞,尤其适合传统HTML表单提交的Web应用。

局限:对JSON/API类请求支持较弱,误报率较高需人工复核

flask中的csrf防御机制
FreeSpider
07-17 2162
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
CSRF---跨站请求伪造
monster0319的博客
03-09 1008
攻击原理: 攻击者利用用户在浏览器中保存的认证信息,向对应的站发送伪造请求。用户的认证是通过保存在cookie中的数据实现,在发送请求是,只要浏览器中保存了对应的cookie,服务器端就会认为用户已经处于登录状态。 攻击示例: 某个银行转账链接:http://localhost:22699/Home/Transfer;传的参数name="TargetUser"、name="Amount" 网站源码: <html> <head> <meta http-eq
CSRF跨站请求伪造攻击
qq_68163788的博客
02-05 2195
CSRF(Cross-Site Request Forgery)是一种网络安全攻击,攻击者利用用户已经登录的身份,在用户不知情的情况下发送恶意请求,以执行某些操作或获取用户的敏感信息。攻击者通常会诱使用户访问包含恶意请求的页面,或者通过其他方式注入恶意代码,以触发CSRF攻击。 CSRF攻击通常利用用户在其他网站上的身份验证信息,因此攻击者可以利用这些信息来执行恶意操作,比如更改用户密码、转账、发送消息等。由于CSRF攻击利用了用户的信任和已登录的身份,因此很难被用户察觉。
CSRF跨站请求伪造)详解
最新发布
tubug的博客
06-08 726
CSRF(Cross-Site Request Forgery)是指攻击者诱导用户在已登录某网站的情况下,执行非本意的操作(如转账、改密码等)。它依赖于用户已登录状态下浏览器自动携带 Cookie 的特性。 攻击者发现目标网站存在 CSRF 漏洞,关键操作接口未对请求来源进行身份校验。 攻击者构造包含恶意请求的 Payload(如自动提交的表单、恶意图片、JS 脚本等),并嵌入到钓鱼网页或第三方平台。 通过社交工程手段(如钓鱼邮件、社交消息、伪装广告等)引导用户击该页面或链接。 用
CSRF跨站请求伪造
zep
04-22 301
一、CSRF跨站请求伪造 CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账… 造成的问题:个人隐私泄露以及财产安全CSRF请求伪造的示意图: 二、CSRF防护 防护思路: 1、请求转账页面的时候,服务器响应转账页面,在cookie中设置一个csrf_token值(随机48位字符串)。 2、客户端在进行post请求的时候,在请求头中带
跨站请求伪造CSRF,Cross-Site Request Forgery)
坚定目标,超越自我
10-10 3074
由于跨站请求通常无法携带自定义头信息,因此检查请求中是否包含自定义头可以作为一种防御手段。使用自定义请求头是一种防御跨站请求伪造CSRF)攻击的技术。这种方法的基本思想是在客户端的请求中添加一个自定义的HTTP头部(Header),服务器端检查这个头部以验证请求的合法性。由于跨站请求通常无法设置自定义头部,这为服务器提供了一种简单的验证机制。
跨站请求伪造CSRF
浪漫鼠
05-27 3204
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.html CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF伪造成合法用户发起请求。 在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
跨站请求伪造(CSRF)漏洞详解
CoffeMilk的博客
09-21 1549
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。
mod_csrf:防止跨站请求伪造的 Apache 模块。-开源
05-30
跨站请求伪造(Cross-Site Request Forgery,简称 CSRF 或 XSRF)是一种网络攻击方式,它利用了用户浏览器已经存储的登录凭证,如Cookie,来执行非授权的操作。这种攻击常见于Web应用中,使得攻击者能够在用户不...
最新【Django网络安全】如何正确防护CSRF跨站请求伪造_drf csrf
2401_84281748的博客
05-04 1020
CsrfViewMiddleware中间件使用的情况下,通过中间件的process_request方法获取请求cookie中的csrftoken,通过process_view获取post、put、delete请求cookie中的csrftoken和表单中的csrfmiddlewaretoken并进行校验(不通过就是403),通过process_response设置cookie的csrftoken参数(需要登录)。主要是CSRF_USE_SESSIONS 和 CSRF_COOKIE_HTTPONLY参数。
网络安全:(二十五)前端跨站请求伪造CSRF)和跨域访问安全策略
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
11-09 1157
跨站请求伪造(Cross-Site Request Forgery,简称 CSRF)是一种攻击方式,攻击者诱导已登录的用户在不知情的情况下向受信任的 Web 应用发送恶意请求。由于用户的身份认证信息(如 Cookie)会自动随请求发送,因此恶意请求会被认为是用户发起的,攻击者借此可以执行未经授权的操作,如转账、修改账户信息等。
【Django网络安全】如何正确防护CSRF跨站请求伪造_drf csrf
2301_77033672的博客
04-28 887
CSRF(Cross-site request forgery),中文名跨站请求伪造。当恶意网站包含一个链接、一个表单按钮或一些javascript,使用登录用户在浏览器中的凭据,打算恶意访问您的网站并执行某些操作时,就会发生这种攻击。还包括一种相关的攻击类型“登录CSRF”,即攻击站诱使用户的浏览器使用他人的凭据登录站。XSS和CSRF正好相反,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。直接的说就是我们需要保护POST、PUT和DELETE请求。向。
[Web安全 网络安全]-CSRF跨站请求伪造
刘鑫磊
09-21 1656
CSRF跨站请求伪造
跨站伪造请求 (CSRF)
KerryRuan的专栏
04-06 834
跨站伪造请求 (CSRF)”攻击可让黑客以受害者的名义在易受攻击的站上运行操作。当易受攻击的站未适当验证请求来源时,便可能出现这个攻击。  这个漏洞的严重性取决于受影响的应用程序的功能,例如,对搜索页面的 CSRF 攻击,严重性低于对转帐页面或概要更新页面的 CSRF 攻击。  这项攻击的执行方式,是强迫受害者的浏览器向易受攻击的站发出 HTTP 请求。如果用户目前已登录受害
Web安全 - 跨站请求伪造CSRF(Cross Site Request Forgery)
小工匠
09-29 5528
CSRF (Cross-Site Request Forgery,跨站请求伪造) 是一种攻击方式,攻击者诱导用户在不知情的情况下发起非授权的请求。例如,用户在登录某个站后,攻击者通过社交工程等手段诱使用户击包含恶意请求的链接,利用用户已登录的状态,发起用户意图之外的操作,如转账、修改账户设置等。:在每次受保护的请求中,服务器生成一个唯一的CSRF Token,注入到表单或请求头中。:对于敏感操作,可以要求用户进行额外的身份验证,如验证码或短信验证,防止攻击者即便利用用户的认证状态,也无法完成关键操作。
web安全】——CSRF跨站请求伪造
wxh的博客
10-05 1506
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。CSRF攻击的过程,往往是在用户不知情的情况下构造了网络请求
安全测试之跨站请求伪造(CSRF)攻击
小太阳~
01-28 7192
一、CSRF攻击的概念CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站,从而在并未授权的情况下执行在权限保护之下的操作,对用户的安全及网站的安全具有很大的危害性。一、CSRF攻击的原理如下图所示,CSRF攻击的原理比较容易理解,其中Web A是存在CSRF漏洞的网站,Web B是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熙客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值