一、CSRF是什麽？

CSRF（Cross Site Request Forgery），中文是跨站點請求偽造。CSRF攻擊者在用戶已經登錄目標網站之後，誘使用戶訪問一個攻擊頁面，利用目標網站對用戶的信任，以用戶身份在攻擊頁面對目標網站發起偽造用戶操作的請求，達到攻擊目的。

舉個例子

簡單版：

假如博客園有個加關註的GET接口，blogUserGuid參數很明顯是關註人Id，如下：

http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315

那我只需要在我的一篇博文內容裏面寫一個img標簽：

<img style="width:0;" src="http://www.cnblogs.com/mvc/Follow/FollowBlogger.aspx?blogUserGuid=4e8c33d0-77fe-df11-ac81-842b2b196315"   />

那麽只要有人打開我這篇博文，那就會自動關註我。

二、CSRF攻擊的本質原因

CSRF攻擊是源於Web的隱式身份驗證機制！Web的身份驗證機制雖然可以保證一個請求是來自於某個用戶的瀏覽器，但卻無法保證該請求是用戶批準發送的。CSRF攻擊的一般是由服務端解決。

CSRF工具的防禦手段

1. 盡量使用POST，限制GET

GET接口太容易被拿來做CSRF攻擊，看第一個示例就知道，只要構造一個img標簽，而img標簽又是不能過濾的數據。接口最好限制為POST使用，GET則無效，降低攻擊風險。

當然POST並不是萬無一失，攻擊者只要構造一個form就可以，但需要在第三方頁面做，這樣就增加暴露的可能性。

2. 瀏覽器Cookie策略

IE6、7、8、Safari會默認攔截第三方本地Cookie（Third-party Cookie）的發送。但是Firefox2、3、Opera、Chrome、Android等不會攔截，所以通過瀏覽器Cookie策略來防禦CSRF攻擊不靠譜，只能說是降低了風險。

PS：Cookie分為兩種，Session Cookie（在瀏覽器關閉後，就會失效，保存到內存裏），Third-party Cookie（即只有到了Exprie時間後才會失效的Cookie，這種Cookie會保存到本地）。

PS：另外如果網站返回HTTP頭包含P3P Header，那麽將允許瀏覽器發送第三方Cookie。

3. 加驗證碼

驗證碼，強制用戶必須與應用進行交互，才能完成最終請求。在通常情況下，驗證碼能很好遏制CSRF攻擊。但是出於用戶體驗考慮，網站不能給所有的操作都加上驗證碼。因此驗證碼只能作為一種輔助手段，不能作為主要解決方案。

4. Referer Check

Referer Check在Web最常見的應用就是“防止圖片盜鏈”。同理，Referer Check也可以被用於檢查請求是否來自合法的“源”（Referer值是否是指定頁面，或者網站的域），如果都不是，那麽就極可能是CSRF攻擊。

但是因為服務器並不是什麽時候都能取到Referer，所以也無法作為CSRF防禦的主要手段。但是用Referer Check來監控CSRF攻擊的發生，倒是一種可行的方法。

5. Anti CSRF Token

現在業界對CSRF的防禦，一致的做法是使用一個Token（Anti CSRF Token）。

例子：

1. 用戶訪問某個表單頁面。

2. 服務端生成一個Token，放在用戶的Session中，或者瀏覽器的Cookie中。

3. 在頁面表單附帶上Token參數。

4. 用戶提交請求後， 服務端驗證表單中的Token是否與用戶Session（或Cookies）中的Token一致，一致為合法請求，不是則非法請求。

這個Token的值必須是隨機的，不可預測的。由於Token的存在，攻擊者無法再構造一個帶有合法Token的請求實施CSRF攻擊。另外使用Token時應註意Token的保密性，盡量把敏感操作由GET改為POST，以form或AJAX形式提交，避免Token泄露。

總結

CSRF攻擊是攻擊者利用用戶的身份操作用戶帳戶的一種攻擊方式，通常使用Anti CSRF Token來防禦CSRF攻擊，同時要註意Token的保密性和隨機性。

原文鏈接：

1、http://www.cnblogs.com/lovesong/p/5233195.html

Web安全之CSRF攻擊