0x00 什么是CSRF

CSRF（Cross-site request forgery跨站恳求假造，也被称为“One Click Attack”或许Session Riding，一般缩写为CSRF或许XSRF，是一种对网站的歹意运用。尽管听起来像跨站脚本（XSS），但它与XSS十分不同，而且进犯办法简直相左。XSS运用站点内的信赖用户，而CSRF则经过假装来自受信赖用户的恳求来运用受信赖的网站。与XSS进犯比较，CSRF进犯往往不大盛行（因而对其进行防备的资源也适当稀疏）和难以防备，所以被以为比XSS更具危险性。

理论上来说，CSRF比XSS更为遍及，也更简单被疏忽。CSRF之所以简单难以防备，是由于这种进犯彻底以用户的身份履行，而使用程序和浏览器往往无法判别这是CSRF进犯仍是合法的HTTP恳求。

OWASP TOP 10是这样描述的

防止跨站恳求假造，一般需求在每个HTTP恳求中添加一个不行猜测的令牌，这种令牌至少应该对每一个用户会话来说是仅有的。

更好的办法是将独有的令牌包含在一个躲藏字段中。这将使得该令牌经过HTTP恳求体发送，防止其包含在URL中然后被露出出来。 该独有令牌相同能够包含在URL中或作为一个URL参数。可是这种办法的巨大危险在于：URL会露出给进犯者，这样隐秘令牌也会被走漏。

OWASP的CSRF Guard能够同来在JAVA EE，.NET，orPHP使用程序中主动参加这种令牌。OWASP的ESAPI包含了多种开发者能够运用的办法来防止CSRF缝隙

要求用户从头认证或许证明他们是一个实在的用户也能够防护CSRF进犯。

0x01 怎么查验是否存在CSRF

那么，怎么判别是否存在CSRF缝隙呢？

检测使用程序是否存在该缝隙的办法是查看每个衔接和表单都供给了不行猜测的CSRF令牌。没有这样的令牌，进犯者就能够假造歹意恳求。另一种防护的办法是要求用户证明他们是实在用户的办法（比方:CAPTCHA）。要点重视那些调用能够改动状况功用和链接的表格，由于他们是跨站恳求假造进犯的最重要的方针。

由于多步买卖并不具有内涵的防进犯才能，因而咱们需求检测这些买卖。进犯者能容易运用多个标签或JavaScript假造一系列恳求

请注意：会话cookie、源IP地址和其他浏览器主动发送的信息不能作为防进犯令牌，由于这些信息现已包含在假造的恳求中。

OWASP的CSRF测验东西有助于生成测验事例，可用于展现跨站恳求假造缝隙的损害。

接下来咱们评论CSRF的防护办法

现在，防护CSRF进犯的办法主要有如下的几种：

运用POST办法代替GET 验证HTTP Referer 验证码 运用token

0x02 运用POST代替GET

程序员乱用$_REQUEST办法来获取外部数据，毋容置疑是导致CSRF众多的原因之一。因而，在开发过程中，要合理选用POST、GET办法，尽量运用POST代替GET办法提交和修正数据，这样能够在必定程度上防止CSRF

尽管运用POST代替GET操作的办法不能彻底防备CSRF，但会添加进犯的难度。

无论怎么，开发人员都应该时间区分好POST、GET办法的使用场景，便是为了防备也能进步使用程序的安全性。

0x03查验HTTP Referer

别的一种常见的防护CSRF的办法是验证HTTP恳求来历。

在HTTP头中含有一个Referer字段，该字段记录了从HTTP恳求的来历地址，经过查看来历地址是来自站内仍是来自长途的歹意页面，能够处理从站外建议的CSRF进犯，趁便处理不合法盗链、站外提交等问题

一个典型的HTTP Referer的完成办法如下：

可是，这种办法相同有缺点。由于HTTP Rreferer是由客户端浏览器发送的，所以能够被修正和假造。现在现已有一些办法和东西能够恣意篡改Referer的值。

[1] [2]  黑客接单网