什么是 CSRF 攻击?
CSRF(跨站请求伪造)攻击是一种利用用户已经登录过的网站漏洞,通过冒充用户身份发送恶意请求,从而实现非法操作的攻击方式。攻击者可以通过各种手段,如发送欺骗性电子邮件、利用社交工程等方式引诱用户点击恶意链接,从而触发重要操作,如改变密码、转账等。
因此,保护网站免受 CSRF 攻击是非常重要的,本文将介绍一些常用的防御 CSRF 攻击的措施。
1. 启用 SameSite Cookie 属性
SameSite Cookie 属性是 Chrome 51、Firefox 60 和 Edge 80 版本之后新增的一种机制,用于限制在进行跨站点请求时是否发送 Cookie。通过设置 SameSite 标志,可以防止浏览器发送跨站点请求,从而有效地阻止 CSRF 攻击。
可以通过将 Cookie 的 SameSite 属性设置为 "Strict" 或 "Lax" 来实现防御 CSRF 攻击的目的。Strict 模式下完全禁止 Cookie 跨站点传输,而 Lax 模式下不允许在 GET 请求中的链接上发送 Cookie;但在 POST、PUT 或 DELETE 请求中可以发送。
例如,在使用Express.js框架的时候,可以添加以下代码来启用 SameSite Cookie 属性:
app.use(session({
secret: 'secretkey',
cookie: {
sameSite: 'strict'
}
}));
2. 验证请求来源
在处理用户请求时,确保验证请求的来源是一个受信任的网站,可以有效防止 CSRF 攻击。可以通过验证请求头中的 Referer 字段或 Origin 字段来判断请求的来源是否合法。
例如,在后端代码中可以添加以下逻辑来验证请求的来源:
const trustedOrigins = ['https://www.example.com', 'https://www.example2.com'];
app.use((req, res, next) => {
const origin = req.headers.origin;
if (trustedOrigins.includes(origin)) {
next();
} else {
res.status(403).json({ error: 'Invalid request origin.' });
}
});
3. 添加 CSRF Token
在每个表单或请求中添加一个 CSRF Token 可以有效地防御 CSRF 攻击。CSRF Token 是一个随机生成的值,存储在用户的会话中,并在每个请求中验证。攻击者无法知道有效的 CSRF Token 值,从而无法构造一个合法的请求。
例如,在前端页面中可以使用以下方法生成 CSRF Token:
<form>
<input type="hidden" name="_csrf" value="{{csrfToken}}">
<!-- 其他表单字段 -->
<button type="submit">提交</button>
</form>
然后,在后端代码中可以验证 CSRF Token 的值:
app.use(csrf());
app.use((req, res, next) => {
const csrfToken = req.csrfToken();
res.cookie('_csrf', csrfToken, { httpOnly: true });
next();
});
4. 阻止第三方网站发起请求
使用 CORS(跨源资源共享)机制可以有效地阻止第三方网站发起请求,从而防止 CSRF 攻击。CORS 允许服务器在响应中指定是否允许来自其他源的跨域请求。
在服务器端,可以通过设置响应头中的 Access-Control-Allow-Origin 字段来限制允许跨域请求的源。只允许受信任的网站发起跨域请求可以有效地防止 CSRF 攻击。
例如,在 Express.js 框架中,可以使用以下代码来设置 CORS 头部:
app.use((req, res, next) => {
res.setHeader('Access-Control-Allow-Origin', 'https://www.example.com');
next();
});
结论
CSRF 攻击是一种常见的网络安全威胁,但通过采取一些预防措施,可以降低受到 CSRF 攻击的风险。启用 SameSite Cookie 属性、验证请求来源、添加 CSRF Token 和阻止第三方网站发起请求等措施可以帮助我们有效地防范 CSRF 攻击。然而,这些措施并不能绝对保证安全,因此在开发过程中,我们还应该从设计和编码层面充分考虑和实施其他的安全措施。
本文来自极简博客,作者:落日之舞姬,转载请注明原文链接:如何避免CSRF攻击
