年底很多企业都会收到网安通知，需要对其网站、业务系统等公网上的IT资产进行安全漏洞检测，大部分企业的网站或者软件系统都会被或多或少的检测出来一些漏洞和潜在问题，其中问的最多的就是关于CSRF跨站请求伪造漏洞。关于这个漏洞，在评测报告上写的概念摸棱两可，也没有给出具体的漏洞代码，导致很多企业的IT负责人一头雾水，今天丁老师就针对CSRF跨站请求伪造这个漏洞，进行一下介绍。

什么是CSRF跨站请求伪造?
跨站请求伪造是一种web攻击方式， 攻击者可以利用已登录用户的身份，在用户不知情的情况下，诱导用户触发伪造的请求，让服务器误以为是用户主动操作，从而执行攻击者预设的恶意行为。比如，你登录了网银，然后不小心点开了攻击者的恶意链接，这个链接里有向陌生人转账1000元的请求，因为网银系统已经存在你已登录的凭证，无法区分请求是你主动发的，还是攻击者伪造的，所以如果你点击了链接，执行了转账操作，这就是典型的CSRF攻击。

简单的说，就是攻击者利用用户已登录的身份信息，来执行恶意操作。

CSRF跨站请求伪造的条件
1.用户已登录网站，或用户不需要登录，但包含了访客和网站的唯一凭证。
2.请求可在网站内被伪造。
3.用户触发伪造请求，比如点击了某些钓鱼链接、广告等。
4.请求无额外验证，也就是说，在已保存用户/访客凭证的情况下，新的请求没有再次进行安全验证。

CSRF跨站请求的典型示例

<form action="https://www.bbb.com/">
	<input type="text" name="keyword" value="" />
	<button type="submit">提交</button>
</form>

以上代码，如果网站本身的域名是www.aaa.com，在网站中的这个form表单，却是提交到bbb.com，这种就有可能会触发检测中的CSRF跨站请求漏洞预警。即使我们知道，这只是调用了bbb.com网站的一个搜索功能，但从安全角度来说，他已经进行了跨站操作，并且有可能会携带当前网站的用户信息提交过去。如果攻击者在代码中修改bbb.com的域名为包含有钓鱼木马的危险链接，那么用户在执行搜索时，就会把在该网站的信息提交过去，就形成了CSRF跨站请求攻击。

如何避免CSRF跨站请求
避免CSRF跨站攻击很简单，可按以下步骤排查修复：
1.如果有涉及需要跨站互通的业务，尽量使用服务端交互，不在客户端中暴漏目标网站url。
2.可在核心业务添加csrf token，即为每个用户会话，生成唯一的随机字符串，用户提交任何请求时都必须携带该token，然后交由服务端验证该token的有效性，由于攻击者无法伪造有效token，因此攻击就会失效。
3.涉及交易、资金类的敏感操作，可增加二次验证，如密码验证、手机短信验证、人脸验证等。
4.限制网站的Cookie权限，可给登录Cookie设置SameSite=Strict/Lax属性，禁止Cookie被跨站请求携带。同时设置HttpOnly，防止Cookie被脚本窃取。

全文总结
CSRF跨站攻击其实就是，服务端无法区分请求是用户主动发起，还是攻击者伪造的，攻击者利用的是用户已登录的身份凭证，而不是直接窃取凭证。在公网系统中，防御的核心是要让核心业务请求token，也就是攻击者无法伪造的唯一标识，同时对敏感操作增加额外验证环节，彻底杜绝攻击者利用已登录身份凭证来进行攻击的任何可能。

针对网安的安全检测，各企业IT运营者需要对所属的网站、OA、ERP以及其他业务系统等公网IT资产进行严格检查，修复潜在漏洞，不仅仅是为了能够通过网安的安全检测，更是可以预防未知和潜在的安全风险，保护企业的IT资产。

以上就是本文的全部内容，如果你的网站也遇到了关于CSRF跨站攻击的问题，需要求助咨询，或是有更好的意见和建议，欢迎联系丁老师进行沟通交流。