正文

Web安全中的CSRF攻击该怎么防御?

优尚网
优尚网 V管理员 /32阅读
0210
文章最后更新时间2026年02月10日,若文章内容或图片失效,请留言反馈!

防御CSRF攻击全攻略

目录导读

  1. CSRF攻击原理剖析
  2. 主流防御技术详解
  3. 实施步骤与最佳实践
  4. 常见误区与注意事项
  5. CSRF防御问答集锦

CSRF攻击原理剖析 {#原理剖析}

CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种常见的Web安全威胁,攻击者通过诱骗用户在已认证的Web应用中执行非本意的操作,攻击者利用用户浏览器对目标站点的信任,伪造恶意请求,从而以用户身份执行非法操作。

Web安全中的CSRF攻击该怎么防御?

攻击场景模拟: 假设用户登录了银行网站ww.jxysys.com,身份认证Cookie保存在浏览器中,此时用户访问了恶意网站,该网站包含一个隐蔽表单,自动提交转账请求到银行网站,由于浏览器会自动携带Cookie,银行服务器会认为这是用户的合法操作,导致资金被盗。

攻击三要素

  • 用户已登录目标站点并持有有效会话
  • 目标站点未部署有效的CSRF防护措施
  • 用户被诱骗访问恶意页面或点击恶意链接

主流防御技术详解 {#防御技术}

CSRF Token验证机制

实现原理: 服务器为每个用户会话生成唯一的、不可预测的Token,嵌入到表单或请求参数中,服务器在处理请求时验证Token的有效性,若Token缺失或无效则拒绝请求。

实施方式

<!-- 表单中嵌入Token -->
<form action="/transfer" method="POST">
  <input type="hidden" name="csrf_token" value="a1b2c3d4e5f6">
  <!-- 其他表单字段 -->
</form>
<!-- AJAX请求携带Token -->
<script>
fetch('/api/transfer', {
  method: 'POST',
  headers: {
    'X-CSRF-Token': 'a1b2c3d4e5f6'
  }
})
</script>

服务器验证逻辑

# 伪代码示例
def process_request(request):
    session_token = request.session.get('csrf_token')
    request_token = request.POST.get('csrf_token') or request.headers.get('X-CSRF-Token')
    if not session_token or session_token != request_token:
        return HttpResponseForbidden("CSRF验证失败")
    # 处理正常业务逻辑

SameSite Cookie属性

三种模式对比

  • Strict模式:Cookie仅在同站请求中发送,完全阻止第三方Cookie
  • Lax模式(默认):允许顶级导航的GET请求携带Cookie,防止CSRF同时保持用户体验
  • None模式:允许跨站发送Cookie,需同时设置Secure属性

配置示例

Set-Cookie: sessionid=abc123; SameSite=Lax; HttpOnly; Secure

双重Cookie验证

实现方案

  • 前端从Cookie中读取Token值,作为参数附加到请求中
  • 后端比较Cookie中的Token与参数中的Token是否一致
  • 适用于前后端分离架构,特别是移动端API防护

Referer/Origin头验证

验证规则

  • 检查HTTP Referer或Origin头部是否来自可信域名
  • 适用于防御大部分第三方站点发起的CSRF攻击
  • 需注意隐私策略和浏览器兼容性问题

配置示例

# Nginx配置示例
location /api/ {
    valid_referers none blocked server_names ~.jxysys.com;
    if ($invalid_referer) {
        return 403;
    }
    proxy_pass http://backend;
}

实施步骤与最佳实践 {#实施实践}

实施路线图

第一阶段:基础防护

  1. 对所有修改操作启用CSRF Token保护
  2. 设置Cookie的SameSite属性为Lax或Strict
  3. 关键操作添加二次确认机制

第二阶段:全面加固

  1. API接口全面实施Token验证
  2. 实现自定义请求头验证
  3. 建立安全请求白名单机制

第三阶段:监控优化

  1. 部署CSRF攻击检测系统
  2. 定期进行安全审计
  3. 建立应急响应流程

框架集成方案

Django框架示例

# settings.py配置
MIDDLEWARE = [
    'django.middleware.csrf.CsrfViewMiddleware',
]
# 模板中使用
<form method="post">
{% csrf_token %}
<!-- 表单内容 -->
</form>
# API视图装饰器
from django.views.decorators.csrf import csrf_exempt, ensure_csrf_cookie
@ensure_csrf_cookie
def api_view(request):
    # 确保返回CSRF Token
    pass

Spring Security配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
                .and()
            // 其他配置
    }
}

特殊场景处理

文件上传防护

// 创建FormData时添加CSRF Token
const formData = new FormData();
formData.append('file', fileInput.files[0]);
formData.append('csrf_token', getCSRFToken());
// 使用自定义头部
const xhr = new XMLHttpRequest();
xhr.open('POST', '/upload');
xhr.setRequestHeader('X-CSRF-Token', getCSRFToken());
xhr.send(formData);

AJAX请求优化

// 自动注入Token的AJAX封装
$.ajaxSetup({
    beforeSend: function(xhr, settings) {
        if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type)) {
            xhr.setRequestHeader("X-CSRF-Token", getCSRFToken());
        }
    }
});

常见误区与注意事项 {#注意事项}

防御误区

仅依赖Referer验证

  • 问题:用户浏览器可能不发送Referer头,某些浏览器扩展会移除Referer
  • 解决:应作为辅助手段,不能作为唯一防护

GET请求无需防护

  • 问题:GET请求也可能修改状态,应遵循RESTful规范
  • 解决:所有修改操作都应使用POST/PUT/DELETE方法并加以防护

Token存储于localStorage

  • 问题:易受XSS攻击窃取
  • 解决:应使用HttpOnly Cookie存储,JavaScript通过特殊方式读取

性能优化建议

Token缓存策略

# Redis存储Token,设置合理过期时间
SETEX csrf:user123 3600 "token_value"
# 批量验证优化
MULTI
GET csrf:user123
GET csrf:user456
EXEC

Token复用策略

  • 短期Token:高频操作使用,5-10分钟有效期
  • 长期Token:低频重要操作使用,结合二次验证

兼容性考量

旧版浏览器支持

// 检测SameSite支持
function supportsSameSite() {
    try {
        document.cookie = "test=1; SameSite=Lax";
        return document.cookie.indexOf("test=1") !== -1;
    } catch (e) {
        return false;
    }
}
// 降级方案
if (!supportsSameSite()) {
    // 启用额外的Token验证
    enhanceCSRFProtection();
}

CSRF防御问答集锦 {#问答集锦}

Q1:CSRF Token应该存储在哪里最安全?

A1:最安全的方案是使用HttpOnly的Session Cookie存储Token主值,同时在前端通过服务器设置的Cookie(非HttpOnly)或响应头获取Token副本,这样既能防止XSS攻击窃取Token,又能保证Token的有效验证,具体实现可参考ww.jxysys.com的安全实践文档。

Q2:API如何防御CSRF攻击?

A2:API防护推荐采用以下组合方案:

  1. 使用自定义请求头(如X-Requested-With)
  2. 实现Token验证机制
  3. 设置CORS策略限制来源
  4. 对关键操作要求重新认证
  5. 记录完整操作日志便于审计

Q3:SameSite=Lax模式下哪些请求会携带Cookie?

A3:在SameSite=Lax模式下,以下请求会自动携带Cookie:

  • 同站请求(相同站点)
  • 顶级导航的GET请求(如点击链接、表单GET提交)
  • 安全方法(GET、HEAD、OPTIONS)的跨站请求

而以下情况不会发送:

  • 跨站的POST、PUT、DELETE请求
  • 通过iframe、img、script等标签发起的请求

Q4:CSRF Token需要每次请求更新吗?

A4:不一定需要每次更新,但建议采用以下策略:

  • 会话期间使用固定Token,会话结束后更新
  • 敏感操作(如修改密码)前强制更新Token
  • 检测到异常行为时立即更新所有Token
  • 设置合理的Token过期时间(通常与会话时间一致)

Q5:如何平衡安全性与用户体验?

A5:可以通过以下方式平衡:

  1. 对只读操作免除CSRF验证
  2. 提供清晰的错误提示,避免用户困惑
  3. 实现Token自动刷新机制,减少登录频率
  4. 对常见操作提供快捷验证方式
  5. 建立用户教育机制,解释安全措施的必要性

Q6:CSRF防护与CORS策略的关系是什么?

A6:两者是互补关系:

  • CORS控制哪些外部域可以访问资源
  • CSRF防止已认证用户执行非本意操作
  • 即使配置了严格CORS,仍需CSRF防护
  • 两者结合能提供更全面的跨站保护