怎么防止跨站请求伪造攻击（CSRF）？

一、CSRF 是什么？

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

二、实际攻击场景

下面用一个银行网站的转账功能，说明攻击原理。备注：涉及到 URL 等信息都是虚构。

1、登录账号

• 正常登录了一家银行网站，查看其后台信息后，没有退出登录；
• 假设这家银行操作转账的 URL 是：

https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

2、恶意链接

• 此时你看到其他网站的一个诱导链接，你下意识点开了；
• 诱导链接中包含恶意代码（用 转账链接 替代 真实图片链接）

<img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />

3、攻击完成

• 点击链接后，浏览器会打开 <img> 中 src 属性的链接来加载图片，但实际上执行了转账操作；
• 转账请求所用电脑、浏览器、ip等环境跟登录账号时的环境一模一样，银行网站后台会认为这就是你本人在操作，所以验证通过，直接转账。

三、防止 CSRF 攻击

服务器端对请求做一次身份验证，拒绝掉无法通过验证的请求，即可方式 CSRF 攻击。

1、第一种方法：验证码

给手机发送数字验证码、图形化验证码让客户识别、让用户再次输入账号密码等进行再次身份验证。

2、第二种方法：Token

• Token 使用过程：

1、服务器生成一个 CSRF token；
2、客户端(浏览器) 提交表单中含有 CSRF token 信息；
3、服务端接收 CSRF token 并验证其有效性。

• 原理说明：

攻击者有可能在上面客户端中拿到 CSRF token，但是攻击者只能使用 JavaScript 来发起请求，如果服务器不支持 CORS(跨域资源)，那么攻击者的 跨域 JavaScript 请求 是会被服务器拒绝，达到防止 CSRF 攻击目的。

• Node.js 项目中推荐使用 csurf ，具体使用方法，看这里！

四、参考文档

• 怎么防止跨站请求伪造攻击（CSRF）？