关于 CSRF 的问题

Posted 2023-03-07

【中文标题】关于 CSRF 的问题

【英文标题】：Questions about CSRF

【发布时间】：2012-03-26 19:09:04

【问题描述】：

在 cookie 中使用信号 auth-token 进行身份验证是否安全（仅通过 ajax 发布和请求 json）？

为什么攻击者无法在隐藏字段中获取表单令牌？

攻击者如何通过 POST 请求进行 CSRF 攻击？

【问题讨论】：

请澄清您的第一个问题。

【参考方案1】：

在 cookie 中使用单个令牌进行身份验证是否安全？

有点，如果该 cookie 是仅 HTTP（有助于防止 XSS）和 SSL，那么您网站之外的任何人都无法读取该 cookie。

但是，用户的浏览器可以保留该 cookie，并在其浏览器再次向您的应用程序请求页面时自动发送该 cookie。当用户浏览您的网站时，这是需要的，但 CSRF 攻击是如何可能的。

为什么攻击者无法在隐藏字段中获取表单令牌？

在 CSRF 攻击中，黑客实际上无法读取您的网站或 cookie，因为它应该受到 SSL/HTTPS 的保护。 CSRF 的工作原理是欺骗您的浏览器，将他们的数据连同您的安全数据一起发送到您的网站。

因此，隐藏字段中的值是针对 CSRF 的默认防御的一部分 - 它们在 cookie 中有一个秘密值（黑客可以欺骗浏览器重新发送但无法查看或编辑），并且相同加密页面中隐藏输入字段中的值（黑客无法访问）。如果 cookie 和隐藏的值不匹配，那么你就有了 CSRF 攻击。

攻击者如何通过 POST 请求进行 CSRF 攻击？

好的，假设您有一个安全的网站。您可以使用 SSL 登录此站点，您将获得一个仅用于 HTTP 的 SSL 身份验证 cookie，以保持您的登录状态。

现在我有一个新页面，位于一个完全不同的网站上。如果我从我的网站链接到您的网站，那么当您单击该链接时，它将离开我的网站并转到您的网站，并传递您的 cookie。

如果我将 html <form> 添加到我的页面并 POST 回您的网站，则会发生同样的事情：浏览器会返回您的网站并发送表单中的任何数据以及您的 cookie。

请注意，我没有读取您的 cookie 或您网站上的任何页面，因为它们都受 SSL 加密保护。

为了获得完整的效果，我可以在页面上隐藏该表单，这样用户甚至都不会意识到他们正在发回您的网站。

Facebook 上的“点赞”功能就是一个简单的例子——我想他们现在已经修复了这个问题，但有一段时间我可以欺骗您的浏览器（无需访问您的详细信息）将您的身份验证 cookie 发送到 Facebook 操作表示你喜欢我想让你喜欢的东西。