CSRF(Cross-site request forgery跨站请求伪造，也被称成为“one click attack”或者sessionriding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

　　一、CSRF攻击原理

　　CSRF攻击原理比较简单，如图1所示。其中Web A为存在CSRF漏洞的网站，Web B为攻击者构建的恶意网站，User C为Web A网站的合法用户。

　　图1 CSRF攻击原理

　　1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A;

　　2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A;

　　3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B;

　　4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A;

　　5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

　　二、CSRF漏洞防御

　　CSRF漏洞防御主要可以从三个层面进行，即服务端的防御、用户端的防御和安全设备的防御。

　　1、 服务端的防御

　　.1.1 验证HTTP Referer字段

　　根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求必须来自于同一个网站。比如某银行的转账是通过用户访问http://bank.test/test?page=10&userID=101&money=10000页面完成，用户必须先登录bank.test，然后通过点击页面上的按钮来触发转账事件。当用户提交请求时，该转账请求的Referer值就会是转账按钮所在页面的URL(本例中，通常是以bank. test域名开头的地址)。而如果攻击者要对银行网站实施CSRF攻击，他只能在自己的网站构造请求，当用户通过攻击者的网站发送请求到银行时，该请求的Referer是指向攻击者的网站。因此，要防御CSRF攻击，银行网站只需要对于每一个转账请求验证其Referer值，如果是以bank. test开头的域名，则说明该请求是来自银行网站自己的请求，是合法的。如果Referer是其他网站的话，就有可能是CSRF攻击，则拒绝该请求。

　　1.2 在请求地址中添加token并验证

　　CSRF攻击之所以能够成功，是因为攻击者可以伪造用户的请求，该请求中所有的用户验证信息都存在于Cookie中，因此攻击者可以在不知道这些验证信息的情况下直接利用用户自己的Cookie来通过安全验证。由此可知，抵御CSRF攻击的关键在于：在请求中放入攻击者所不能伪造的信息，并且该信息不存在于Cookie之中。鉴于此，系统开发者可以在HTTP请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token或者token内容不正确，则认为可能是CSRF攻击而拒绝该请求。

　　1.3 在HTTP头中自定义属性并验证

　　自定义属性的方法也是使用token并进行验证，和前一种方法不同的是，这里并不是把token以参数的形式置于HTTP请求之中，而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类，可以一次性给所有该类请求加上csrftoken这个HTTP头属性，并把token值放入其中。这样解决了前一种方法在请求中加入token的不便，同时，通过这个类请求的地址不会被记录到浏览器的地址栏，也不用担心token会通过Referer泄露到其他网站。

　　2、 其他防御方法

　　1. CSRF攻击是有条件的，当用户访问恶意链接时，认证的cookie仍然有效，所以当用户关闭页面时要及时清除认证cookie，对支持TAB模式(新标签打开网页)的浏览器尤为重要。

　　2. 尽量少用或不要用request()类变量，获取参数指定request.form()还是request. querystring ()，这样有利于阻止CSRF漏洞攻击，此方法只不能完全防御CSRF攻击，只是一定程度上增加了攻击的难度。

　　代码示例：

　　Java 代码示例

　　下文将以 Java 为例，对上述三种方法分别用代码进行示例。无论使用何种方法，在服务器端的拦截器必不可少，它将负责检查到来的请求是否符合要求，然后视结果而决定是否继续请求或者丢弃。在 Java 中，拦截器是由 Filter 来实现的。我们可以编写一个 Filter，并在 web.xml 中对其进行配置，使其对于访问所有需要 CSRF 保护的资源的请求进行拦截。

　　在 filter 中对请求的 Referer 验证代码如下

　　清单 1. 在 Filter 中验证 Referer// 从 HTTP 头中取得 Referer 值

　　Stringreferer=request.getHeader("Referer");

　　// 判断 Referer 是否以 bank.example 开头

　　if((referer!=null)&&(referer.trim().startsWith(“bank.example”))){

　　chain.doFilter(request,response);

　　}else{

　　request.getRequestDispatcher(“error.jsp”).forward(request,response);

　　}

　　以上代码先取得 Referer 值，然后进行判断，当其非空并以 bank.example 开头时，则继续请求，否则的话可能是 CSRF 攻击，转到 error.jsp 页面。

　　如果要进一步验证请求中的 token 值，代码如下

　　清单 2. 在 filter 中验证请求中的 token

　　HttpServletRequestreq =(HttpServletRequest)request;

　　HttpSessions =req.getSession();

　　// 从 session 中得到 csrftoken 属性

　　StringsToken =(String)s.getAttribute(“csrftoken”);

　　if(sToken ==null){

　　// 产生新的 token 放入 session 中

　　sToken =generateToken();

　　s.setAttribute(“csrftoken”,sToken);

　　chain.doFilter(request,response);

　　}else{

　　// 从 HTTP 头中取得 csrftoken

　　StringxhrToken =req.getHeader(“csrftoken”);

　　// 从请求参数中取得 csrftoken

　　StringpToken =req.getParameter(“csrftoken”);

　　if(sToken !=null&&xhrToken !=null&&sToken.equals(xhrToken)){

　　chain.doFilter(request,response);

　　}elseif(sToken !=null&&pToken !=null&&sToken.equals(pToken)){

　　chain.doFilter(request,response);

　　}else{

　　request.getRequestDispatcher(“error.jsp”).forward(request,response);

　　}

　　}

(责任编辑：安博涛)