简单理解 CSRF
最牛「CSRF防护」,带你进入大虾们的圈子!什么是 CSRF?
CSRF 攻击过程简述
最牛「CSRF防护」,带你进入大虾们的圈子!访问受信任的站点 C,C 在您的浏览器中写入 Cookie , 您又访问含有攻击代码的站点 B, 站点 B 以您的身份向 A 发送了一个请求,而这个请求并没有经过您的同意或者并不是您想要发送的。
CSRF 的危害有哪些?
CSRF 可以用访问者的身份做很多事情,包括但不限于个人信息泄露、也可能会危害财产安全。
CSRF 常见攻击方式
常见的攻击方式大致可以分为以下几种
- Img 标签 GET 请求
例如修改当前已登录用户密码
[站外图片上传中……(3)]
-
Flash 或隐藏表单的主动提交
<form <input type="hidden" name="new" value="123"/> </form> <script>document.forms[0].submit()</script>
CSRF 如何防御
目前防护 CSRF 大多在服务器端进行验证和限制,客户端解决方案较少,实现成本也较高。服务端主要方式有以下几种
- Token 验证
- Referer 验证
一般对于一些私有 API 完全可以拒绝非当前 origin 的 referer,在已知受信站点白名单的情况下,对于例如多站点共用的 API (例如权限系统)可以设置可访问 origin 的列表。需要注意在很多请求头中并没有 referer 或者 referer 不正确。
- 隐藏令牌
将独有的令牌包含在一个隐藏字段中。 这将使得该令牌通过 HTTP 请求体发送,避免其包含在 URL 中从而被暴露出来。该独有令牌同样可以包含在 URL 中或作为一个 URL 参数。 但是这种方法的巨大风险在于:URL 会暴露给攻击者, 这样秘密令牌也会被泄漏。
CSRF 防护 in Flask
flask-wtf
在 Flask 0.9.0版本后,可以使用 Flask-WTF 来防御 CSRF 攻击,Flask-WTF 默认对所有提交的表单启用 csrf 防护
wtf的token
<form method="post"
{{ form.csrf_token }}
</form>
非wtf的tokan
当使用非WTF表单的时候,可以将token放在一个隐藏域中,随表单一起提交
<form method="post"
<input type="hidden" name="csrf_token" value="{{ csrf_token() }}" />
</form>
AJAX的token
Ajax的token可以放在隐藏域或其他标签中, 在通过js获取token, 随Ajax请求提交
<script type="text/javascript">
var csrftoken = "{{ csrf_token() }}"
// 或者
var csrftoken = $('meta[name=csrf-token]').attr('content')
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!/^(GET|HEAD|OPTIONS|TRACE)$/i.test(settings.type) && !this.crossDomain) {
xhr.setRequestHeader("X-CSRFToken", csrftoken)
}
}
})
</script>
自定义 CSRF 验证失败后的逻辑
Flask提供装饰器@csrf.error_handler 来支持定制当CSRF验证失败后的返回信息
@csrf.error_handler
def csrf_error(reason):
return render_template('csrf_error.html', reason=reason), 400