什么是 CSRF 攻击,如何避免?
CSRF(Cross-Site Request Forgery)攻击是一种利用用户在网站的合法身份,以用户的名义执行非法操作的攻击方式。攻击者诱导用户点击链接或者加载图片,这些操作会请求攻击者构造的恶意网址。如果用户当前正处于已登录状态,那么这个请求会带着用户的登录凭证(例如cookies),从而能够以用户的名义执行操作。
以下是一些常见的防止CSRF攻击的方法:
- 使用Anti-CSRF Tokens:在每次提交请求时,服务器生成一个唯一的、随机的token,并将该token添加到表单中。在服务器端验证这个token与服务器存储的token是否一致,如果不一致则拒绝请求。这样,即使攻击者能够诱导用户发起请求,但他无法获取到这个token,因此无法构造出有效的请求。
<form action="/transfer" method="POST">
<input type="hidden" name="csrf_token" value="CSRF-TOKEN-FROM-SERVER">
<!-- Other form fields -->
</form>
- SameSite Cookie属性:这是一个相对较新的防护手段。设置cookie的SameSite属性可以防止浏览器在跨站请求时发送cookie,从而防止CSRF攻击。这个属性有两个值,
Lax和Strict,分别表示在某些情况下和所有情况下禁止跨站发送cookie。
Cookie cookie = new Cookie("key", "value");
cookie.setSecure(true);
cookie.setHttpOnly(true);
cookie.setSameSite("Strict");
- 验证Referer头:服务器可以验证HTTP的Referer头,如果请求是从一个未知的、不可信的来源发起的,那么服务器可以拒绝这个请求。
-
使用双重Cookie验证:在用户登录后,服务器不仅在后端存储用户的session信息,还在客户端的cookie中存储一个相同的session信息。每次请求时,服务器验证后端的session信息和客户端cookie中的session信息是否一致,只有在两者都一致的情况下,才认为这是一个合法的请求。
请注意,以上方法最好同时使用,以提供更强的安全保护。