Post

跨站请求伪造 (CSRF) 详解:原理、调试与防御

Posted
By Lin Huang
8 min read
跨站请求伪造 (CSRF) 详解:原理、调试与防御

跨站请求伪造 (CSRF) 详解:原理、调试与防御

如果你在后端开发或接口调试中经常遇到 403 Forbidden 且错误信息包含 CSRF Token Missing,那么你正在与现代 Web 框架中最常见的安全机制打交道。

本文将深入解析 CSRF (Cross-Site Request Forgery) 的攻击原理,并解释为什么它被称为“睡眠中的杀手”。

1. 什么是 CSRF?

CSRF,中文名为跨站请求伪造

与 XSS(跨站脚本攻击)不同,CSRF 不会窃取你的账号密码或 Cookie。相反,它利用浏览器在发送请求时自动携带 Cookie 的特性,冒充受害者的身份向服务器发送恶意请求。

通俗类比:骗子的转账单

  1. 前提:你刚刚在银行柜台验证了身份(登录了网站),处于“已认证”状态。
  2. 攻击:路边一个骗子递给你一张传单(恶意链接)。
  3. 中招:传单夹层里藏着一张填好了骗子账号的转账单。当你接过传单递给柜员(浏览器自动带上 Cookie 发送请求)时,柜员看到是你递交的,就执行了转账。

关键点:整个过程你没有泄漏密码,但你的账号却被别人操控了。

2. 攻击原理演示

假设某个银行网站的转账接口是这样的(GET 请求示例,虽然不规范但很常见): GET http://bank.com/transfer?to=hacker&money=1000

攻击步骤

  1. 诱导:黑客在一个色情网站或垃圾邮件中放了一张图片:
    1

    <img src="http://bank.com/transfer?to=hacker&money=1000" width="0" height="0">
  2. 触发:当你访问这个恶意页面时,浏览器看到 <img> 标签,就会自动向 bank.com 发送 GET 请求以获取“图片”。
  3. 伪造:如果此时你刚好登录过 bank.com 且 Cookie 还没过期,浏览器会自动把 bank.com 的 Cookie 带上。
  4. 结果:银行服务器收到请求,验证 Cookie 发现是你的合法会话,于是执行转账。钱没了。

注:对于 POST 请求,黑客可以构建一个隐藏的自动提交表单(Auto-submit Form)来达到同样效果。

3. XSS vs CSRF:核心区别

特性XSS (跨站脚本)CSRF (跨站请求伪造)
手段代码注入 (JavaScript)伪造 HTTP 请求
利用核心浏览器的脚本执行能力浏览器的 Cookie 自动发送机制
目标偷取数据 (Cookie/Token)执行操作 (转账/改密/发帖)
防御重点转义输入、CSPCSRF Token、SameSite Cookie

简单记忆:XSS 是偷你的钥匙,CSRF 是借你的手。

4. 后端调试中的 CSRF 问题

在开发 Django, Spring Security, Rails, Laravel 等应用时,你可能会遇到:

HTTP 403 Forbidden: CSRF verification failed. Request aborted.

这是因为这些框架默认开启了 CSRF 防护。

为什么会报错?

框架期望所有的“写操作”(POST, PUT, DELETE)都必须携带一个“暗号” (CSRF Token)。 如果你的请求(例如用 Postman 或外部脚本发起)没有带这个 Token,服务器就会认为是跨站攻击,直接拦截。

怎么解决?

  1. 开发环境:如果是测试 API,可以暂时在代码中关闭 CSRF 中间件(不推荐),或者将接口标记为 @csrf_exempt
  2. 生产环境:前端必须从 Cookie 或 Meta 标签中读取 Token,并在发送 AJAX 请求时将其放入 HTTP Header 中(通常是 X-CSRF-TOKEN)。

5. 防御策略

5.1 CSRF Token (同步令牌模式)

这是最通用的防御方法。

  1. 生成:服务器在渲染页面时,随机生成一个 Token,塞在表单的隐藏域中: <input type="hidden" name="csrf_token" value="随机字符串...">
  2. 验证:用户提交表单时,服务器比对提交上来的 Token 和 Session 中的 Token 是否一致。
  3. 原理:黑客的网站无法读取 bank.com 的页面内容(受同源策略限制),因此他拿不到这个随机 Token,伪造的请求自然会失败。

这是现代浏览器提供的原生防御,非常高效。

在服务器设置 Cookie 时添加 SameSite 属性:

  • Set-Cookie: session_id=xyz; SameSite=Strict

  • Strict: 只有当前网页 URL 与请求目标一致时,才发送 Cookie。完全阻断 CSRF。
  • Lax (默认): 允许部分安全的顶级导航(如点击链接跳转)携带 Cookie,但禁止跨站的 POST 请求携带 Cookie。

5.3 验证 Origin / Referer

这是一种简单直接的辅助防御手段。

  • 原理: 当浏览器发起跨域请求(如 POST)时,会自动带上 OriginReferer 头,且前端 JS 无法修改这两个头。
  • 后端识别逻辑:
    1. 读取 Origin 头(例如 Origin: http://hacker.com)。
    2. 检查该域名是否在服务器的“允许列表”中。
    3. 如果不在列表中,服务器直接拒绝请求(403 Forbidden)。
  • 局限性:
    • 部分老旧浏览器或隐私插件可能会过滤掉 Referer。
    • 黑客如果是通过非浏览器环境(如 curl)发起请求可以伪造 header,但这种情况下他也拿不到用户的浏览器 Cookie,因此无法构成 CSRF 攻击。

6. 总结

CSRF 是一种利用信任机制的攻击。随着浏览器默认启用 SameSite=Lax,简单的 CSRF 攻击变得越来越难,但它依然是 Web 安全中不可忽视的一环。

对于开发者来说,坚持使用 CSRF Token 并在关键操作(如修改密码、支付)前增加二次验证(输入旧密码或验证码),是确保安全的最佳实践。

security, web
csrf vulnerability backend cookie
This post is licensed under CC BY 4.0 by the author.