你知道什么是 CRSF 攻击吗？

大家好，欢迎来到IT知识分享网。

👉博主介绍： 博主从事应用安全和大数据领域，有8年研发经验，5年面试官经验，Java技术专家，WEB架构师，阿里云专家博主，华为云云享专家，51CTO 专家博主

1. 什么是 CRSF 攻击

CSRF（Cross-Site Request Forgery）攻击是一种网络安全攻击方式，攻击者利用用户已经认证过的会话来执行未经用户授权的操作。攻击者通过诱使用户访问恶意网站或点击恶意链接，在用户已经登录的情况下发送伪造的请求，以执行某些操作，如修改用户信息、发起转账等。这样的攻击可以导致用户数据泄露、账户被盗等安全问题。

2. CRSF 攻击能造成什么风险

CSRF（跨站请求伪造）攻击可能导致以下风险：

1. 未经授权的操作：攻击者可以利用CSRF攻击执行未经用户授权的操作，例如更改用户密码、发送恶意邮件、转账资金等。
2. 数据泄露：攻击者可以利用CSRF攻击来获取用户的敏感信息，例如个人资料、银行账户等。
3. 账户劫持：通过CSRF攻击，攻击者可能接管用户的账户，导致账户被盗。
4. 恶意操作：攻击者可以在用户不知情的情况下执行恶意操作，例如发布恶意内容、删除数据等。
5. 社会工程攻击：攻击者可以利用CSRF攻击诱使用户执行操作，例如在社交媒体上发布恶意链接，进一步传播攻击。

因此，CSRF攻击可能对用户和网站造成严重的安全风险，因此网站和应用程序开发者需要采取相应的防御措施来减少CSRF攻击的潜在威胁。

3. 攻击者如何利用漏洞触发 CRSF 攻击

攻击者利用漏洞触发CSRF（跨站请求伪造）攻击的一般步骤如下：

1. 诱使受害者登录：攻击者需要诱使受害者登录目标网站，确保受害者在目标网站上保持了有效的会话。
2. 构造恶意请求：攻击者在恶意网站或其他途径中构造一个包含恶意操作的请求，例如修改用户资料、转账等。
3. 引诱受害者访问：攻击者通过各种方式引诱受害者访问包含恶意请求的链接，例如发送钓鱼邮件、在社交媒体上发布恶意链接等。
4. 触发CSRF攻击：当受害者点击包含恶意请求的链接时，浏览器会自动发送请求到目标网站，由于受害者已经登录，请求会被目标网站认为是合法的，从而执行恶意操作。

通过这种方式，攻击者利用漏洞和社会工程手段，成功触发CSRF攻击，执行未经授权的操作。

4. WEB 项目如何避免 CRSF 攻击

要避免CSRF（跨站请求伪造）攻击，WEB项目可以采取以下一些防御措施：

1. 使用CSRF令牌：在每个表单提交或敏感操作中包含一个CSRF令牌，该令牌与用户会话相关联。在处理请求时，验证令牌的有效性，确保请求不是来自恶意来源。
2. 同源策略：使用同源策略限制不同来源的网页之间的交互，阻止恶意网站发送伪造的请求到目标网站。
3. 检查Referer头：验证请求的Referer头，确保请求来源于合法的网站，防止恶意网站伪造请求。
4. 使用Cookie属性：在Cookie中设置HttpOnly和Secure属性，防止恶意脚本通过读取Cookie来执行CSRF攻击。
5. 双重确认：对于敏感操作，如修改密码、转账等，要求用户进行双重确认，例如输入密码、短信验证码等。
6. 限制敏感操作：对于一些敏感操作，如修改用户信息、转账等，要求用户进行身份验证，例如输入密码或进行多因素认证。

通过结合这些防御措施，WEB项目可以有效地减少CSRF攻击的风险，保护用户数据和网站安全。同时，定期对项目进行安全审计和漏洞扫描也是保持项目安全的重要措施。

5.使用CSRF令牌

在基于Java语言的Web项目中，可以使用CSRF令牌来解决CSRF（跨站请求伪造）攻击。以下是一种常见的在Java Web应用中使用CSRF令牌的方法：

1. 生成CSRF令牌：在每个表单提交或敏感操作的页面中生成一个唯一的CSRF令牌，并将其存储在会话中或隐藏在表单中。
2. 插入CSRF令牌到表单：将生成的CSRF令牌插入到表单的隐藏字段中，或者作为请求参数发送到服务器端。
3. 验证CSRF令牌：在服务器端接收到请求后，验证请求中的CSRF令牌是否与存储在会话中的令牌匹配。如果匹配成功，则执行请求；如果不匹配或不存在，则拒绝请求。

以下是一个简单的伪代码，演示如何在Java Web项目中使用CSRF令牌：

// 生成和存储CSRF令牌 String csrfToken = UUID.randomUUID().toString(); request.getSession().setAttribute("csrfToken", csrfToken); // 在表单中插入CSRF令牌 out.println("<form action='/submit' method='post'>"); out.println("<input type='hidden' name='csrfToken' value='" + csrfToken + "'>"); out.println("<input type='text' name='data'>"); out.println("<input type='submit' value='Submit'>"); out.println("</form>"); // 验证CSRF令牌 String requestToken = request.getParameter("csrfToken"); String sessionToken = (String) request.getSession().getAttribute("csrfToken"); if (sessionToken != null && sessionToken.equals(requestToken)) { 
    // CSRF令牌验证通过，执行请求 // 处理表单提交的数据 } else { 
    // CSRF令牌验证失败，拒绝请求 // 返回错误信息或跳转到错误页面 } 

通过以上步骤，可以有效地在Java Web项目中使用CSRF令牌来防止CSRF攻击。确保在每个敏感操作中都使用CSRF令牌，并严格验证令牌的合法性，以确保项目的安全性。

6.同源策略

在Java语言的Web项目中，同源策略（Same-Origin Policy）是一种防御CSRF（跨站请求伪造）攻击的有效方法。同源策略限制了不同源（Origin）之间的交互，防止恶意网站发送伪造请求到目标网站。以下是一些使用同源策略来防御CSRF攻击的方法：

6.1.使用Referer头验证

在Java Web应用中，可以通过检查请求头中的Referer字段来验证请求的来源。确保请求来源于合法的网站，而不是恶意网站。可以使用ServletRequest中的getHeader(“Referer”)方法来获取Referer头信息。

这个下面会详细介绍；

6.2.使用CsrfFilter过滤器

编写一个CsrfFilter过滤器，在请求到达控制器之前拦截请求，检查请求头中的Origin字段或Referer字段，确保请求来自同一源。如果请求不是来自同一源，可以拒绝请求或进行其他处理。

在基于Java语言的Web项目中，可以通过编写一个CsrfFilter过滤器来增加对CSRF（跨站请求伪造）攻击的防御。CsrfFilter过滤器可以拦截请求，在请求到达控制器之前对请求进行验证，确保请求的合法性。以下是一个简单的伪代码，演示如何使用CsrfFilter过滤器来解决CSRF攻击：

import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class CsrfFilter implements Filter { 
    @Override public void init(FilterConfig filterConfig) throws ServletException { 
    // 初始化操作 } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { 
    HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 获取请求头中的Referer字段 String referer = httpRequest.getHeader("Referer"); // 验证Referer头是否存在且来源于合法的网站 if (referer != null && referer.startsWith("https://yourwebsite.com")) { 
    // 请求来自合法网站，继续执行请求 chain.doFilter(request, response); } else { 
    // 请求来源不合法，拒绝请求或跳转到错误页面 httpResponse.setStatus(HttpServletResponse.SC_FORBIDDEN); httpResponse.getWriter().println("CSRF Attack Detected. Access Denied."); } } @Override public void destroy() { 
    // 销毁操作 } } 

在上述示例中，CsrfFilter过滤器拦截请求，在doFilter方法中获取请求头中的Referer字段，验证请求是否来自合法的网站。如果请求来源不合法，可以拒绝请求或返回错误信息。在Web项目中配置CsrfFilter过滤器后，所有经过该过滤器的请求都会进行CSRF验证。

要在Java Web项目中使用CsrfFilter过滤器，需要在web.xml文件中配置过滤器映射，如下所示：

<filter> <filter-name>CsrfFilter</filter-name> <filter-class>com.example.CsrfFilter</filter-class> </filter> <filter-mapping> <filter-name>CsrfFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 

通过结合CsrfFilter过滤器和其他CSRF防御措施，可以有效地增强Web应用程序对CSRF攻击的防御能力。

6.3.设置CORS策略

通过设置CORS（Cross-Origin Resource Sharing）策略来控制不同源之间的资源共享。可以在Java Web应用中配置CORS策略，限制跨域请求的访问权限，从而增强对CSRF攻击的防御。

在基于Java语言的Web项目中，可以通过设置CORS（Cross-Origin Resource Sharing）策略来增加对CSRF（跨站请求伪造）攻击的防御。CORS策略允许服务器控制跨域请求的访问权限，可以限制不同源之间的资源共享，从而增强Web应用程序的安全性。以下是一种在Java Web项目中使用CORS策略来解决CSRF攻击的方法：

1. 配置CORS过滤器：编写一个CORS过滤器，用于在响应头中设置CORS相关的信息，如允许的源、允许的方法等。
2. 设置响应头信息：在CORS过滤器中设置响应头信息，包括Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers等，以允许跨域请求。

以下是一个简单的伪代码，演示如何在Java Web项目中使用CORS策略来解决CSRF攻击：

import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class CorsFilter implements Filter { 
    @Override public void init(FilterConfig filterConfig) throws ServletException { 
    // 初始化操作 } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { 
    HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 设置允许跨域访问的源 httpResponse.setHeader("Access-Control-Allow-Origin", "https://allowed-origin.com"); // 设置允许的请求方法 httpResponse.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE"); // 设置允许的请求头 httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization"); // 允许使用凭据（如Cookie） httpResponse.setHeader("Access-Control-Allow-Credentials", "true"); // 继续执行请求 chain.doFilter(request, response); } @Override public void destroy() { 
    // 销毁操作 } } 

在上述示例中，CorsFilter过滤器设置了允许跨域访问的源、允许的请求方法、允许的请求头等信息。在Web项目中配置CorsFilter过滤器后，可以控制跨域请求的访问权限，从而增强对CSRF攻击的防御能力。

要在Java Web项目中使用CorsFilter过滤器，需要在web.xml文件中配置过滤器映射，如下所示：

<filter> <filter-name>CorsFilter</filter-name> <filter-class>com.example.CorsFilter</filter-class> </filter> <filter-mapping> <filter-name>CorsFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 

通过配置CORS策略，可以有效地控制不同源之间的资源共享，提高Web应用程序的安全性，并减少CSRF攻击的风险。

6.4.使用自定义请求头

在请求中添加自定义的请求头，例如X-Requested-With头，用于标识请求的合法性。在服务器端验证请求头中的自定义字段，确保请求是合法的。

在基于Java语言的Web项目中，可以通过使用自定义请求头来增加对CSRF（跨站请求伪造）攻击的防御。自定义请求头可以包含特定的标识符或令牌，用于验证请求的合法性。以下是一种简单的伪代码，演示如何在Java Web项目中使用自定义请求头来解决CSRF攻击：

import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class CsrfFilter implements Filter { 
    @Override public void init(FilterConfig filterConfig) throws ServletException { 
    // 初始化操作 } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { 
    HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // 获取自定义请求头中的CSRF令牌 String customToken = httpRequest.getHeader("X-Csrf-Token"); // 验证自定义请求头中的CSRF令牌 if (customToken != null && customToken.equals("your_custom_token")) { 
    // CSRF令牌验证通过，继续执行请求 chain.doFilter(request, response); } else { 
    // CSRF令牌验证失败，拒绝请求或返回错误信息 httpResponse.setStatus(HttpServletResponse.SC_FORBIDDEN); httpResponse.getWriter().println("CSRF Attack Detected. Access Denied."); } } @Override public void destroy() { 
    // 销毁操作 } } 

在上述示例中，CsrfFilter过滤器拦截请求，从请求头中获取自定义请求头”X-Csrf-Token”的值作为CSRF令牌，然后验证该令牌的合法性。如果CSRF令牌验证通过，则允许请求继续执行；否则拒绝请求或返回错误信息。

要在Java Web项目中使用CsrfFilter过滤器，需要在web.xml文件中配置过滤器映射，如下所示：

<filter> <filter-name>CsrfFilter</filter-name> <filter-class>com.example.CsrfFilter</filter-class> </filter> <filter-mapping> <filter-name>CsrfFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 

通过使用自定义请求头作为CSRF令牌，可以增加对CSRF攻击的防御，确保请求的合法性。结合其他CSRF防御措施，如CSRF令牌、Referer头验证等，可以提高Web应用程序的安全性。

通过以上方法结合使用，可以在Java语言的Web项目中有效地使用同源策略来防御CSRF攻击。这些方法可以帮助确保请求的来源合法性，防止恶意网站发送伪造请求到目标网站。

7.检查Referer头

在基于Java语言的Web项目中，可以通过检查Referer头来增加对CSRF（跨站请求伪造）攻击的防御。Referer头包含了请求的来源页面地址，可以用于验证请求是否来自合法的网站。以下是一种基于Java的伪代码，表示如何使用检查Referer头来防御CSRF攻击：

// 在Servlet或Controller中处理请求 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { 
    // 获取请求头中的Referer字段 String referer = request.getHeader("Referer"); // 验证Referer头是否存在且来源于合法的网站 if (referer != null && referer.startsWith("https://yourwebsite.com")) { 
    // 请求来自合法网站，执行操作 // 处理表单提交的数据 } else { 
    // 请求来源不合法，拒绝请求或跳转到错误页面 response.setStatus(HttpServletResponse.SC_FORBIDDEN); response.getWriter().println("CSRF Attack Detected. Access Denied."); } } 

在上述示例中，通过获取请求头中的Referer字段，并验证其是否以指定的合法网站地址开头，来判断请求是否来自合法来源。如果Referer头为空或不是合法网站的地址，可以拒绝请求或返回错误信息。

需要注意的是，Referer头并非绝对可靠，因为它可能被篡改或被浏览器禁用。因此，建议结合其他CSRF防御措施，如CSRF令牌、CORS策略等，来提高Web应用程序的安全性。综合使用多种防御手段可以有效地减少CSRF攻击的风险。

8.使用Cookie属性

在基于Java语言的Web项目中，可以通过设置Cookie属性来增加对CSRF（跨站请求伪造）攻击的防御。特别是设置HttpOnly和Secure属性可以提高Cookie的安全性，防止恶意脚本通过读取Cookie来执行CSRF攻击。以下是一些关于如何使用Cookie属性来解决CSRF攻击的建议：

1. HttpOnly属性：设置Cookie的HttpOnly属性可以防止通过JavaScript脚本访问Cookie，从而降低被恶意脚本利用的风险。在Java中可以通过如下方式设置HttpOnly属性：

Cookie cookie = new Cookie("csrfToken", "your_csrf_token"); cookie.setHttpOnly(true); response.addCookie(cookie); 

2. Secure属性：设置Cookie的Secure属性可以确保Cookie只在使用HTTPS协议时传输，防止在不安全的HTTP连接中泄露Cookie信息。在Java中可以通过如下方式设置Secure属性：

Cookie cookie = new Cookie("csrfToken", "your_csrf_token"); cookie.setSecure(true); response.addCookie(cookie); 

3. SameSite属性：设置Cookie的SameSite属性可以限制第三方网站对Cookie的访问，降低CSRF攻击的风险。在Java中可以通过如下方式设置SameSite属性：

Cookie cookie = new Cookie("csrfToken", "your_csrf_token"); cookie.setPath("/"); cookie.setSameSite(Cookie.SameSite.STRICT); response.addCookie(cookie); 

通过合理设置Cookie的属性，特别是HttpOnly、Secure和SameSite属性，可以有效地提高Web应用程序对CSRF攻击的防御能力。结合其他CSRF防御措施，如CSRF令牌、Referer头验证等，可以全面保护Web应用程序的安全性。

9.双重确认

在基于Java语言的Web项目中，使用双重确认机制是一种有效的方法来增加对CSRF（跨站请求伪造）攻击的防御。通过要求用户进行额外的确认操作，例如输入密码、短信验证码等，可以确保用户的真实意图，防止恶意攻击者利用CSRF漏洞执行未经授权的操作。以下是一种使用双重确认机制来解决CSRF攻击的简单示例：

1. 在敏感操作前要求用户进行双重确认：在执行敏感操作之前，例如修改密码、转账等操作，要求用户进行双重确认。
2. 验证用户身份：在进行双重确认时，验证用户的身份，确保用户是合法的操作者。可以要求用户输入密码、短信验证码、安全问题答案等。
3. 执行操作：只有在用户进行了双重确认并通过验证后，才执行敏感操作。

下面是一个简单的伪代码，演示如何在Java Web项目中使用双重确认来防止CSRF攻击：

// 假设用户需要在执行敏感操作前进行双重确认 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { 
    // 获取用户输入的密码 String password = request.getParameter("password"); // 验证用户输入的密码是否正确 if (password.equals("user_password")) { 
    // 用户身份验证通过，执行敏感操作 // 处理表单提交的数据 } else { 
    // 用户身份验证失败，拒绝请求或跳转到错误页面 response.setStatus(HttpServletResponse.SC_FORBIDDEN); response.getWriter().println("Access Denied. Please provide correct password."); } } 

通过以上双重确认机制，可以增加用户对敏感操作的确认步骤，确保用户的真实意图，从而有效防止CSRF攻击。结合其他CSRF防御措施，如CSRF令牌、Referer头验证等，可以进一步提高Web应用程序的安全性。

10.限制敏感操作

在基于Java语言的Web项目中，通过限制敏感操作来解决CSRF（跨站请求伪造）攻击是一种有效的防御策略。通过限制对敏感操作的访问，可以减少恶意攻击者利用CSRF漏洞执行未经授权的操作的可能性。以下是一些方法可以帮助实现限制敏感操作来防止CSRF攻击：

1. 身份验证和授权：在执行敏感操作之前，确保用户已经通过身份验证，并且具有足够的权限执行该操作。只有授权用户才能执行敏感操作。
2. 双重确认：要求用户在执行敏感操作之前进行双重确认，例如输入密码、短信验证码等。这样可以确保用户的真实意图。
3. 时间限制：限制敏感操作的有效时间窗口，例如设置操作的有效期限，超过时间则需要重新进行身份验证。
4. 操作频率限制：限制用户对敏感操作的频率，防止恶意攻击者进行大量的恶意请求。
5. 监控和日志记录：监控敏感操作的执行情况，记录操作日志，及时发现异常操作。

通过结合这些方法，可以有效地限制对敏感操作的访问，降低CSRF攻击的风险。在Java Web项目中，可以在处理敏感操作的代码中实现这些限制措施，以提高Web应用程序的安全性。

精彩专栏推荐订阅：在下方专栏👇🏻
✅ 2023年华为OD机试真题（A卷&B卷）+ 面试指导
✅ 精选100套 Java 项目案例
✅ 面试需要避开的坑（活动）
✅ 你找不到的核心代码
✅ 带你手撕 Spring
✅ Java 初阶