跨站请求伪造(CSRF)-简述

跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。[1] 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。(维基百科)

当我们请求一个目标网站时,浏览器会发送该目标网站相关的cookie信息。当我们浏览其他的网站时,如果我们没有退出该目标网站,而其他的网站有一个向目标网站的操作链接,这时因为我们在线,且有cookie信息,那么目标网站就会认为这是一个合法的请求而执行。但是这个操作不是我们自己请求的,而是恶意者用我们自己被认证过的身份执行的操作。

这种恶意的网址并不需要一个特定的网站,它可以藏身在任何一个由用户生成内容的网站中,如论坛,博客等。

如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过在线交易网站,登录信息尚未过期,那么她就会损失1000资金。

Get方式攻击:

假设一个在线交易网站有一个转账的url:

http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

一个恶意者在另一个网站添加了如下代码

<img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">

Post方式攻击:

//目标网站的form
<form id="form" action="withdraw/trans" method="post">
<input name="account" type="text"/>
<input name="amount" type="text"/>
<input name="forAccount" type="text"/>
</form>

恶意链接

//指向恶意Html的链接
<img src="http://other/maliciouspage.html"/>

恶意html:

<html>
<head>
<script type="text/javascript">
window.onload = function () {
document.myform.submit();
}
</script>
</head>
<body>
<form id="myform" name="myform" action="withdraw/trans" method="post"/>
<input name="account" type="hidden" value="Alice" />
<input name="amount" type="hidden" value="1000"/>
<input name="forAccount" type="hidden" value="Badman"/>
</form>
</body>
</html>

恶意Html部署在http://other/maliciouspage.html。恶意链接在任何一个可以由用户生成内容的网站,当有用户是Alice浏览到一个有恶意链接的网站时,就会加载恶意html,执行form方法。


@Html.AntiForgeryToken

如何避免这个恶意请求呢?

既然浏览器是不可信的,那么就用一个非浏览器的而是跟页面自身(用户唯一)才有的唯一随机值作为验证对象。

@Html.AntiForgeryToken的验证流程:

生成验证值:

  1. 当在View中调用AntiForgeryToken时会先生成一个cookie的名称,该名称的前缀为"_RequestVerificationToken"。

  2. 如果当前的请求中已有该cookie,则直接对该cookie的值进行序列化(包含加密解密操作)得到AntiForgeryData对象。如果没有该cookie则生成一个AntiForgeryData对象。

  3. 创建cookie,名称为1中生成的值,值为2中AntiForgeryData对象解析后的字符串(前后值会不一样,因为还有其他的随机值作为解析参数)。

  4. @Html.AntiForgeryToken会生成一个名为"_RequestVerificationToken"的隐藏控件,该控件的值是根据现有的AntiForgeryData对象再创建一个新的AntiForgeryData对象,序列化的字符串。

匹配验证值:

  1. 在form提交时,服务端会先根据之前生成cookie的逻辑再次获取到cookie名称,如果没有找到对应cookie就抛出异常,如果找到该cookie,就解析解密为AntiForgeryToken对象。

  2. 然后在表单中查找名称为"_RequestVerificationToken"的控件,没有找到抛出异常,找到的话该控件的值解析解密为AntiForgeryToken对象.

  3. 隐藏控件中的AntiForgeryToken和cookie解析解密的AntiForgeryToken对象匹配,一致为合法,不一致为非法。

因为@Html.AntiForgeryToken的值是随机且加密的,所以恶意html的表单里很难获取到正确的值。

Cookie:

    HTTP/1.1 200 OK
Cache-Control: private
Set-Cookie: __RequestVerificationToken_L012Y0FwcDEx=EYPOofprbB0og8vI+Pzr1unY0Ye5BihYJgoIYBqzvZDZ+hcT5QUu+fj2hvFUVTTCFAZdjgCPzxwIGsoNdEyD8nSUbgapk8Xp3+ZD8cxguUrgl0lAdFd4ZGWEYzz0IN58l5saPJpuaChVR4QaMNbilNG4y7xiN2/UCrBF80LmPO4=; path=/; HttpOnly

Form:

 <form action="..." method="post">
<input name="__RequestVerificationToken" type="hidden" value="yvLaFQ81JVgguKECyF/oQ+pc2/6q0MuLEaF73PvY7pvxaE68lO5qgXZWhfqIk721CBS0SJZjvOjbc7o7GL3SQ3RxIW90no7FcxzR6ohHUYEKdxyfTBuAVjAuoil5miwoY8+6HNoSPbztyhMVvtCsQDtvQfyW1GNa7qvlQSqYxQW7b6nAR2W0OxNi4NgrFEqbMFrD+4CwwAg4PUWpvcQxYA==" />
</form>

@Html.AntiForgeryToken的使用:

//Razor:
<form id="form" action="withdraw/trans" method="post">
@Html.AntiForgeryToken()
<input name="account" type="text"/>
<input name="amount" type="text"/>
<input name="forAccount" type="text"/>
</form> //Controller:添加特性[ValidateAntiForgeryToken]且必须是HttpPost
[HttpPost]
[ValidateAntiForgeryToken]
public ActinResult Trans(string account,double amount,string forAccount)
{
return View();
}

get请求最好是只读的,对于有操作的请求最好用post来实现。


参考:

跨站请求伪造(CSRF)-简述的更多相关文章

  1. PHP安全编程:跨站请求伪造CSRF的防御(转)

    跨站请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法.此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者.这样,很你就很难确定哪些请求是属于跨站 ...

  2. 跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险

    跨站请求伪造(CSRF)攻击原理解析:比你所想的更危险 跨站请求伪造(Cross-Site Request Forgery)或许是最令人难以理解的一种攻击方式了,但也正因如此,它的危险性也被人们所低估 ...

  3. django之跨站请求伪造csrf

    目录 跨站请求伪造 csrf 钓鱼网站 模拟实现 针对form表单 ajax请求 csrf相关的两个装饰器 跨站请求伪造 csrf 钓鱼网站 就类似于你搭建了一个跟银行一模一样的web页面 , 用户在 ...

  4. 跨站请求伪造 CSRF / XSRF<一:介绍>

    跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一 ...

  5. 跨站请求伪造CSRF(Cross-site request forgery)

    CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站 ...

  6. 跨站请求伪造(csrf)中间件整理

    一. CSRF中间件 字面意思跨站请求伪造; 即模仿个请求朝服务器发送,django中对跨站伪造的请求有相应的校验 from django.views.decorators.csrf import c ...

  7. 跨站请求伪造(csrf)的防护手段

    CSRF CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造. CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求. 造成的问题:个人隐私泄露以及财产安全. CS ...

  8. 跨站请求伪造CSRF:攻击与防御

    CSRF是什么         (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为&quo ...

  9. 跨站请求伪造CSRF

    CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求. 在XSS危害 ...

随机推荐

  1. JavaScript基础回顾

    1, NaN 不是数字  Infinity 无穷大 alert(parseInt("dd")); //NaN alert(1/0); //Infinity 2, 逻辑或 || ,返 ...

  2. const的用法,特别是用在函数前面与后面的区别!

    const的用法,特别是用在函数后面 在普通的非 const成员函数中,this的类型是一个指向类类型的 const指针.可以改变this所指向的值,但不能改变 this所保存的地址. 在 const ...

  3. Sum It Up 广搜

    Sum It Up Time Limit:1000MS     Memory Limit:32768KB     64bit IO Format:%I64d & %I64u Submit St ...

  4. poj2823一道纯单调队列

    Sliding Window Time Limit: 12000MS   Memory Limit: 65536K Total Submissions: 32099   Accepted: 9526 ...

  5. Codeforces Round #432 (Div. 2, based on IndiaHacks Final Round 2017)ABCD

    A. Arpa and a research in Mexican wave time limit per test 1 second memory limit per test 256 megaby ...

  6. java关键字中文对比

    abstract 摘要|抽象assert 声称boolean 布尔break 中断byte 字节case 实例catch 捕捉char 烧焦class 类const 常量continue 持续defa ...

  7. ubuntu的应用程序哪里找

    一般来说11.04以前的桌面是gnome,点左上角的那个小圆圈,会出来一个下拉菜单,里面就有应用程序. 11.10以后的桌面换成unity 在dash中寻找应用程序很不方便,知道名字的还好,不知道名字 ...

  8. Jquery字符串,数组(拷贝、删选、合并等),each循环,阻止冒泡,ajax出错,$.grep筛选,$.param序列化,$.when

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  9. Jquery实现数据双向绑定(赋值和取值),类似AngularJS

    <!DOCTYPE html> <html> <head> <meta name="viewport" content="wid ...

  10. 图片载入状态判断及实现百分比效果loading

    前言 一些大的外部资源会导致页面加载速度慢,这时候一般会加上loading效果:这里实现的是根据图片加载进度的百分比loading效果 如何判断图片加载的状态 1.onload  onerror 推荐 ...