谈谈CSRF

CSRF介绍

  • 英文:Cross Site Request Forgy
  • 中文:跨站请求伪造
  • 攻击者在其他的网站对目标网站产生了影响

CSRF攻击危害

  • 利用用户登录态
  • 用户不知情
  • 完成业务请求
  • 盗取用户资金(转账,消费)

    就算警察寻找是谁,也只能找到用户,找不到攻击者,因为攻击者用的ip和cookie都是用户的。

CSRF攻击防御

csrf防御核心思想就是利用攻击者不会访问目标网站的前端,只会去访问目标网站的后端,所以如果在目标网站的前端增加验证信息,那就会有效防御csrf攻击,因为csrf无法获取这个验证信息,也就无法得到后端的正确响应。

第一种方法

禁止第三方网站携带cookie

在cookie中加一个same-site属性 但是兼容性很差,只有很少的浏览器兼容。

第二种方法

在前端页面加入验证信息,比如:

  1. 验证码
    1. 加入token

验证码

这需要前后端协同
1:前端加入验证码输入框。
2:后端为前端提供这个验证码,并且在提交的时候进行验证,还有后端还要记住这个验证码是什么,也就是保存下来,以便有第三方进行csrf攻击时进行判断。
node.js开发后端的话,有ccap这个插件可以用,它可以生成图形验证码。

这个可以有效防御csrf,但是每次都要让用户输入验证码进行验证,降低了用户体验。而且前端提交后,后端还要再校验一下验证码对不对。

token

token就是一个随机字符串,放在前端的请求内容中,也可以放在cookie中。

token生成机制:

 1 // 后端要做的事情
 2 // 随机生成token
 3 var csrfToken = parseInt(Math.random() * 9999999, 10);
 4  
 5 // 后端生成token并且保存在cookie中
 6 ctx.cookies.set('csrfToken', csrfToken);
 7  
 8  
 9 // 前端要做的事情
10 // 放置一个表单,不会显示出来,设置隐藏
11 <input name="csrfToken" value=csrfToken><input>

 


然后在相应的动作里进行判断: 

 1 function action(req, res){
 2 var data;
 3 if(req.method.toLowerCase() === 'post'){
 4 data = req.body;
 5 }else{
 6 data = req.query;
 7 }
 8 if(!data.crsfToken){
 9 throw new('csrf token is null');
10 }else if(data.csrfToken !== req.cookies.get('csrfToken')){
11 throw new('csrfToken 错误');
12 }
13 }

 


使用token需要注意的地方 

  • 如果是通过表单提交,则可以直接将token值放在表单里面提交。
  • 如果是ajax请求,则一般是通过将token放在页面的另外一个地方,比如放在meta中。
meta{name="csrf_token", content=csrfToken}

 

刷新后,在页面的head中多了一个meta,在ajax请求之前,就可以通过js把这个meta中的toke值取出来,一并发到后台去。

注意:

如果用户打开了很多页面或者很多提交表单,每个页面和表单都是对应不同的token,因为cookies里面只能放置一个token,用户提交只能是提交最后一个页面的token或者是最后一个表单的token,所以这个问题也比较特殊,如何处理。需要思考。

CSRF中的referer

referer是http协议中的一个请求头,来自攻击网站。所以还有一个防御方式:验证referer,禁止来自第三方网站的请求。

 1 // 在相应的动作里
 2 function action(req, res){
 3 var data;
 4 if(req.method.toLowerCase() === 'post'){
 5 data = req.body;
 6 }else{
 7 data = req.query;
 8 }
 9 var referer = res.headers.referer;
10 // 通过使用indexOf判断
11 if(referer indexOf('localhost') === '-1'){
12 throw new('请求非法');
13 }
14  
15 // 更好的做法是下面这个,因为referer是http://整个url地址,如果url其他部分有localhost,上面的表达式也可以被匹配到
16 if(!/^http:\/\/localhost/.test(referer)){
17 throw new('请求非法');
18 }
19 }

 


这里面有几个注意的点: 

  • 从本地磁盘访问,没有refere,因为是同域,可以将ftp改成http形式,比如http://127.0.0.1/
  • 通过http访问,有referer。

 参考

http://godkun.me/2018/01/10/CSRF%E7%A0%94%E7%A9%B6/

 
posted @ 2018-04-15 22:25  jh903  阅读(380)  评论(0编辑  收藏  举报