你知道什么是 CRSF 攻击吗？

Myth丶恋晨 2024-05-04 08:10 61阅读 0赞

![在这里插入图片描述][95f08590833d45bfa7372c503712b39e.png]

> ?**博主介绍**： 博主从事应用安全和大数据领域，有8年研发经验，5年面试官经验，Java技术专家，WEB架构师，阿里云专家博主，华为云云享专家，51CTO 专家博主

⛪️ 个人社区：[个人社区][Link 1]  
? 个人主页：[个人主页][Link 2]  
? 专栏地址： ✅ [Java 中级][Java]  
?八股文专题：[剑指大厂，手撕 Java 八股文][Java 1]

#### 文章目录 ####

*   *   *  1. 什么是 CRSF 攻击
         *  2. CRSF 攻击能造成什么风险
         *  3. 攻击者如何利用漏洞触发 CRSF 攻击
         *  4. WEB 项目如何避免 CRSF 攻击
         *  5.使用CSRF令牌
         *  6.同源策略
         *   *  6.1.使用Referer头验证
             *  6.2.使用CsrfFilter过滤器
             *  6.3.设置CORS策略
             *  6.4.使用自定义请求头
         *  7.检查Referer头
         *  8.使用Cookie属性
         *  9.双重确认
         *  10.限制敏感操作

#### 1. 什么是 CRSF 攻击 ####

CSRF（Cross-Site Request Forgery）攻击是一种网络安全攻击方式，攻击者利用用户已经认证过的会话来执行未经用户授权的操作。攻击者通过诱使用户访问恶意网站或点击恶意链接，在用户已经登录的情况下发送伪造的请求，以执行某些操作，如修改用户信息、发起转账等。这样的攻击可以导致用户数据泄露、账户被盗等安全问题。

#### 2. CRSF 攻击能造成什么风险 ####

CSRF（跨站请求伪造）攻击可能导致以下风险：

1.  **未经授权的操作**：攻击者可以利用CSRF攻击执行未经用户授权的操作，例如更改用户密码、发送恶意邮件、转账资金等。
2.  **数据泄露**：攻击者可以利用CSRF攻击来获取用户的敏感信息，例如个人资料、银行账户等。
3.  **账户劫持**：通过CSRF攻击，攻击者可能接管用户的账户，导致账户被盗。
4.  **恶意操作**：攻击者可以在用户不知情的情况下执行恶意操作，例如发布恶意内容、删除数据等。
5.  **社会工程攻击**：攻击者可以利用CSRF攻击诱使用户执行操作，例如在社交媒体上发布恶意链接，进一步传播攻击。

因此，CSRF攻击可能对用户和网站造成严重的安全风险，因此网站和应用程序开发者需要采取相应的防御措施来减少CSRF攻击的潜在威胁。

#### 3. 攻击者如何利用漏洞触发 CRSF 攻击 ####

攻击者利用漏洞触发CSRF（跨站请求伪造）攻击的一般步骤如下：

1.  **诱使受害者登录**：攻击者需要诱使受害者登录目标网站，确保受害者在目标网站上保持了有效的会话。
2.  **构造恶意请求**：攻击者在恶意网站或其他途径中构造一个包含恶意操作的请求，例如修改用户资料、转账等。
3.  **引诱受害者访问**：攻击者通过各种方式引诱受害者访问包含恶意请求的链接，例如发送钓鱼邮件、在社交媒体上发布恶意链接等。
4.  **触发CSRF攻击**：当受害者点击包含恶意请求的链接时，浏览器会自动发送请求到目标网站，由于受害者已经登录，请求会被目标网站认为是合法的，从而执行恶意操作。

通过这种方式，攻击者利用漏洞和社会工程手段，成功触发CSRF攻击，执行未经授权的操作。

#### 4. WEB 项目如何避免 CRSF 攻击 ####

要避免CSRF（跨站请求伪造）攻击，WEB项目可以采取以下一些防御措施：

1.  **使用CSRF令牌**：在每个表单提交或敏感操作中包含一个CSRF令牌，该令牌与用户会话相关联。在处理请求时，验证令牌的有效性，确保请求不是来自恶意来源。
2.  **同源策略**：使用同源策略限制不同来源的网页之间的交互，阻止恶意网站发送伪造的请求到目标网站。
3.  **检查Referer头**：验证请求的Referer头，确保请求来源于合法的网站，防止恶意网站伪造请求。
4.  **使用Cookie属性**：在Cookie中设置HttpOnly和Secure属性，防止恶意脚本通过读取Cookie来执行CSRF攻击。
5.  **双重确认**：对于敏感操作，如修改密码、转账等，要求用户进行双重确认，例如输入密码、短信验证码等。
6.  **限制敏感操作**：对于一些敏感操作，如修改用户信息、转账等，要求用户进行身份验证，例如输入密码或进行多因素认证。

通过结合这些防御措施，WEB项目可以有效地减少CSRF攻击的风险，保护用户数据和网站安全。同时，定期对项目进行安全审计和漏洞扫描也是保持项目安全的重要措施。

#### 5.使用CSRF令牌 ####

在基于Java语言的Web项目中，可以使用CSRF令牌来解决CSRF（跨站请求伪造）攻击。以下是一种常见的在Java Web应用中使用CSRF令牌的方法：

1.  **生成CSRF令牌**：在每个表单提交或敏感操作的页面中生成一个唯一的CSRF令牌，并将其存储在会话中或隐藏在表单中。
2.  **插入CSRF令牌到表单**：将生成的CSRF令牌插入到表单的隐藏字段中，或者作为请求参数发送到服务器端。
3.  **验证CSRF令牌**：在服务器端接收到请求后，验证请求中的CSRF令牌是否与存储在会话中的令牌匹配。如果匹配成功，则执行请求；如果不匹配或不存在，则拒绝请求。

以下是一个简单的伪代码，演示如何在Java Web项目中使用CSRF令牌：

// 生成和存储CSRF令牌
    String csrfToken = UUID.randomUUID().toString();
    request.getSession().setAttribute("csrfToken", csrfToken);
    
    // 在表单中插入CSRF令牌
    out.println("<form action='/submit' method='post'>");
    out.println("<input type='hidden' name='csrfToken' value='" + csrfToken + "'>");
    out.println("<input type='text' name='data'>");
    out.println("<input type='submit' value='Submit'>");
    out.println("</form>");
    
    // 验证CSRF令牌
    String requestToken = request.getParameter("csrfToken");
    String sessionToken = (String) request.getSession().getAttribute("csrfToken");
    
    if (sessionToken != null && sessionToken.equals(requestToken)) {
        
        // CSRF令牌验证通过，执行请求
        // 处理表单提交的数据
    } else {
        
        // CSRF令牌验证失败，拒绝请求
        // 返回错误信息或跳转到错误页面
    }

通过以上步骤，可以有效地在Java Web项目中使用CSRF令牌来防止CSRF攻击。确保在每个敏感操作中都使用CSRF令牌，并严格验证令牌的合法性，以确保项目的安全性。

#### 6.同源策略 ####

在Java语言的Web项目中，同源策略（Same-Origin Policy）是一种防御CSRF（跨站请求伪造）攻击的有效方法。同源策略限制了不同源（Origin）之间的交互，防止恶意网站发送伪造请求到目标网站。以下是一些使用同源策略来防御CSRF攻击的方法：

##### 6.1.使用Referer头验证 #####

在Java Web应用中，可以通过检查请求头中的Referer字段来验证请求的来源。确保请求来源于合法的网站，而不是恶意网站。可以使用ServletRequest中的getHeader(“Referer”)方法来获取Referer头信息。

这个下面会详细介绍；

##### 6.2.使用CsrfFilter过滤器 #####

编写一个CsrfFilter过滤器，在请求到达控制器之前拦截请求，检查请求头中的Origin字段或Referer字段，确保请求来自同一源。如果请求不是来自同一源，可以拒绝请求或进行其他处理。

在基于Java语言的Web项目中，可以通过编写一个CsrfFilter过滤器来增加对CSRF（跨站请求伪造）攻击的防御。CsrfFilter过滤器可以拦截请求，在请求到达控制器之前对请求进行验证，确保请求的合法性。以下是一个简单的伪代码，演示如何使用CsrfFilter过滤器来解决CSRF攻击：

import javax.servlet.*;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.io.IOException;
    
    public class CsrfFilter implements Filter {
        
    
        @Override
        public void init(FilterConfig filterConfig) throws ServletException {
        
            // 初始化操作
        }
    
        @Override
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
        
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            HttpServletResponse httpResponse = (HttpServletResponse) response;
    
            // 获取请求头中的Referer字段
            String referer = httpRequest.getHeader("Referer");
    
            // 验证Referer头是否存在且来源于合法的网站
            if (referer != null && referer.startsWith("https://yourwebsite.com")) {
        
                // 请求来自合法网站，继续执行请求
                chain.doFilter(request, response);
            } else {
        
                // 请求来源不合法，拒绝请求或跳转到错误页面
                httpResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
                httpResponse.getWriter().println("CSRF Attack Detected. Access Denied.");
            }
        }
    
        @Override
        public void destroy() {
        
            // 销毁操作
        }
    }

在上述示例中，CsrfFilter过滤器拦截请求，在doFilter方法中获取请求头中的Referer字段，验证请求是否来自合法的网站。如果请求来源不合法，可以拒绝请求或返回错误信息。在Web项目中配置CsrfFilter过滤器后，所有经过该过滤器的请求都会进行CSRF验证。

要在Java Web项目中使用CsrfFilter过滤器，需要在web.xml文件中配置过滤器映射，如下所示：

<filter>
        <filter-name>CsrfFilter</filter-name>
        <filter-class>com.example.CsrfFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CsrfFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

通过结合CsrfFilter过滤器和其他CSRF防御措施，可以有效地增强Web应用程序对CSRF攻击的防御能力。

##### 6.3.设置CORS策略 #####

通过设置CORS（Cross-Origin Resource Sharing）策略来控制不同源之间的资源共享。可以在Java Web应用中配置CORS策略，限制跨域请求的访问权限，从而增强对CSRF攻击的防御。

在基于Java语言的Web项目中，可以通过设置CORS（Cross-Origin Resource Sharing）策略来增加对CSRF（跨站请求伪造）攻击的防御。CORS策略允许服务器控制跨域请求的访问权限，可以限制不同源之间的资源共享，从而增强Web应用程序的安全性。以下是一种在Java Web项目中使用CORS策略来解决CSRF攻击的方法：

1.  **配置CORS过滤器**：编写一个CORS过滤器，用于在响应头中设置CORS相关的信息，如允许的源、允许的方法等。
2.  **设置响应头信息**：在CORS过滤器中设置响应头信息，包括Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers等，以允许跨域请求。

以下是一个简单的伪代码，演示如何在Java Web项目中使用CORS策略来解决CSRF攻击：

import javax.servlet.*;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.io.IOException;
    
    public class CorsFilter implements Filter {
        
    
        @Override
        public void init(FilterConfig filterConfig) throws ServletException {
        
            // 初始化操作
        }
    
        @Override
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
        
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            HttpServletResponse httpResponse = (HttpServletResponse) response;
    
            // 设置允许跨域访问的源
            httpResponse.setHeader("Access-Control-Allow-Origin", "https://allowed-origin.com");
    
            // 设置允许的请求方法
            httpResponse.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, DELETE");
    
            // 设置允许的请求头
            httpResponse.setHeader("Access-Control-Allow-Headers", "Content-Type, Authorization");
    
            // 允许使用凭据（如Cookie）
            httpResponse.setHeader("Access-Control-Allow-Credentials", "true");
    
            // 继续执行请求
            chain.doFilter(request, response);
        }
    
        @Override
        public void destroy() {
        
            // 销毁操作
        }
    }

在上述示例中，CorsFilter过滤器设置了允许跨域访问的源、允许的请求方法、允许的请求头等信息。在Web项目中配置CorsFilter过滤器后，可以控制跨域请求的访问权限，从而增强对CSRF攻击的防御能力。

要在Java Web项目中使用CorsFilter过滤器，需要在web.xml文件中配置过滤器映射，如下所示：

<filter>
        <filter-name>CorsFilter</filter-name>
        <filter-class>com.example.CorsFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CorsFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

通过配置CORS策略，可以有效地控制不同源之间的资源共享，提高Web应用程序的安全性，并减少CSRF攻击的风险。

##### 6.4.使用自定义请求头 #####

在请求中添加自定义的请求头，例如X-Requested-With头，用于标识请求的合法性。在服务器端验证请求头中的自定义字段，确保请求是合法的。

在基于Java语言的Web项目中，可以通过使用自定义请求头来增加对CSRF（跨站请求伪造）攻击的防御。自定义请求头可以包含特定的标识符或令牌，用于验证请求的合法性。以下是一种简单的伪代码，演示如何在Java Web项目中使用自定义请求头来解决CSRF攻击：

import javax.servlet.*;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    import java.io.IOException;
    
    public class CsrfFilter implements Filter {
        
    
        @Override
        public void init(FilterConfig filterConfig) throws ServletException {
        
            // 初始化操作
        }
    
        @Override
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
        
            HttpServletRequest httpRequest = (HttpServletRequest) request;
            HttpServletResponse httpResponse = (HttpServletResponse) response;
    
            // 获取自定义请求头中的CSRF令牌
            String customToken = httpRequest.getHeader("X-Csrf-Token");
    
            // 验证自定义请求头中的CSRF令牌
            if (customToken != null && customToken.equals("your_custom_token")) {
        
                // CSRF令牌验证通过，继续执行请求
                chain.doFilter(request, response);
            } else {
        
                // CSRF令牌验证失败，拒绝请求或返回错误信息
                httpResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
                httpResponse.getWriter().println("CSRF Attack Detected. Access Denied.");
            }
        }
    
        @Override
        public void destroy() {
        
            // 销毁操作
        }
    }

在上述示例中，CsrfFilter过滤器拦截请求，从请求头中获取自定义请求头"X-Csrf-Token"的值作为CSRF令牌，然后验证该令牌的合法性。如果CSRF令牌验证通过，则允许请求继续执行；否则拒绝请求或返回错误信息。

要在Java Web项目中使用CsrfFilter过滤器，需要在web.xml文件中配置过滤器映射，如下所示：

通过使用自定义请求头作为CSRF令牌，可以增加对CSRF攻击的防御，确保请求的合法性。结合其他CSRF防御措施，如CSRF令牌、Referer头验证等，可以提高Web应用程序的安全性。

通过以上方法结合使用，可以在Java语言的Web项目中有效地使用同源策略来防御CSRF攻击。这些方法可以帮助确保请求的来源合法性，防止恶意网站发送伪造请求到目标网站。

#### 7.检查Referer头 ####

在基于Java语言的Web项目中，可以通过检查Referer头来增加对CSRF（跨站请求伪造）攻击的防御。Referer头包含了请求的来源页面地址，可以用于验证请求是否来自合法的网站。以下是一种基于Java的伪代码，表示如何使用检查Referer头来防御CSRF攻击：

// 在Servlet或Controller中处理请求
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        
        // 获取请求头中的Referer字段
        String referer = request.getHeader("Referer");
        
        // 验证Referer头是否存在且来源于合法的网站
        if (referer != null && referer.startsWith("https://yourwebsite.com")) {
        
            // 请求来自合法网站，执行操作
            // 处理表单提交的数据
        } else {
        
            // 请求来源不合法，拒绝请求或跳转到错误页面
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            response.getWriter().println("CSRF Attack Detected. Access Denied.");
        }
    }

在上述示例中，通过获取请求头中的Referer字段，并验证其是否以指定的合法网站地址开头，来判断请求是否来自合法来源。如果Referer头为空或不是合法网站的地址，可以拒绝请求或返回错误信息。

需要注意的是，Referer头并非绝对可靠，因为它可能被篡改或被浏览器禁用。因此，建议结合其他CSRF防御措施，如CSRF令牌、CORS策略等，来提高Web应用程序的安全性。综合使用多种防御手段可以有效地减少CSRF攻击的风险。

#### 8.使用Cookie属性 ####

在基于Java语言的Web项目中，可以通过设置Cookie属性来增加对CSRF（跨站请求伪造）攻击的防御。特别是设置HttpOnly和Secure属性可以提高Cookie的安全性，防止恶意脚本通过读取Cookie来执行CSRF攻击。以下是一些关于如何使用Cookie属性来解决CSRF攻击的建议：

1.  **HttpOnly属性**：设置Cookie的HttpOnly属性可以防止通过JavaScript脚本访问Cookie，从而降低被恶意脚本利用的风险。在Java中可以通过如下方式设置HttpOnly属性：

Cookie cookie = new Cookie("csrfToken", "your_csrf_token");
    cookie.setHttpOnly(true);
    response.addCookie(cookie);

1.  **Secure属性**：设置Cookie的Secure属性可以确保Cookie只在使用HTTPS协议时传输，防止在不安全的HTTP连接中泄露Cookie信息。在Java中可以通过如下方式设置Secure属性：

Cookie cookie = new Cookie("csrfToken", "your_csrf_token");
    cookie.setSecure(true);
    response.addCookie(cookie);

1.  **SameSite属性**：设置Cookie的SameSite属性可以限制第三方网站对Cookie的访问，降低CSRF攻击的风险。在Java中可以通过如下方式设置SameSite属性：

Cookie cookie = new Cookie("csrfToken", "your_csrf_token");
    cookie.setPath("/");
    cookie.setSameSite(Cookie.SameSite.STRICT);
    response.addCookie(cookie);

通过合理设置Cookie的属性，特别是HttpOnly、Secure和SameSite属性，可以有效地提高Web应用程序对CSRF攻击的防御能力。结合其他CSRF防御措施，如CSRF令牌、Referer头验证等，可以全面保护Web应用程序的安全性。

#### 9.双重确认 ####

在基于Java语言的Web项目中，使用双重确认机制是一种有效的方法来增加对CSRF（跨站请求伪造）攻击的防御。通过要求用户进行额外的确认操作，例如输入密码、短信验证码等，可以确保用户的真实意图，防止恶意攻击者利用CSRF漏洞执行未经授权的操作。以下是一种使用双重确认机制来解决CSRF攻击的简单示例：

1.  **在敏感操作前要求用户进行双重确认**：在执行敏感操作之前，例如修改密码、转账等操作，要求用户进行双重确认。
2.  **验证用户身份**：在进行双重确认时，验证用户的身份，确保用户是合法的操作者。可以要求用户输入密码、短信验证码、安全问题答案等。
3.  **执行操作**：只有在用户进行了双重确认并通过验证后，才执行敏感操作。

下面是一个简单的伪代码，演示如何在Java Web项目中使用双重确认来防止CSRF攻击：

// 假设用户需要在执行敏感操作前进行双重确认
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        
        // 获取用户输入的密码
        String password = request.getParameter("password");
    
        // 验证用户输入的密码是否正确
        if (password.equals("user_password")) {
        
            // 用户身份验证通过，执行敏感操作
            // 处理表单提交的数据
        } else {
        
            // 用户身份验证失败，拒绝请求或跳转到错误页面
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            response.getWriter().println("Access Denied. Please provide correct password.");
        }
    }

通过以上双重确认机制，可以增加用户对敏感操作的确认步骤，确保用户的真实意图，从而有效防止CSRF攻击。结合其他CSRF防御措施，如CSRF令牌、Referer头验证等，可以进一步提高Web应用程序的安全性。

#### 10.限制敏感操作 ####

在基于Java语言的Web项目中，通过限制敏感操作来解决CSRF（跨站请求伪造）攻击是一种有效的防御策略。通过限制对敏感操作的访问，可以减少恶意攻击者利用CSRF漏洞执行未经授权的操作的可能性。以下是一些方法可以帮助实现限制敏感操作来防止CSRF攻击：

1.  **身份验证和授权**：在执行敏感操作之前，确保用户已经通过身份验证，并且具有足够的权限执行该操作。只有授权用户才能执行敏感操作。
2.  **双重确认**：要求用户在执行敏感操作之前进行双重确认，例如输入密码、短信验证码等。这样可以确保用户的真实意图。
3.  **时间限制**：限制敏感操作的有效时间窗口，例如设置操作的有效期限，超过时间则需要重新进行身份验证。
4.  **操作频率限制**：限制用户对敏感操作的频率，防止恶意攻击者进行大量的恶意请求。
5.  **监控和日志记录**：监控敏感操作的执行情况，记录操作日志，及时发现异常操作。

通过结合这些方法，可以有效地限制对敏感操作的访问，降低CSRF攻击的风险。在Java Web项目中，可以在处理敏感操作的代码中实现这些限制措施，以提高Web应用程序的安全性。

>  精彩专栏推荐订阅：在下方专栏??  
>  ✅ [2023年华为OD机试真题（A卷&B卷）+ 面试指导 ][2023_OD_A_B_ _]  
>  ✅ [ 精选100套 Java 项目案例 ][_100_ Java _]  
>  ✅ [面试需要避开的坑（活动）][Link 3]  
>  ✅ [你找不到的核心代码][Link 4]  
>  ✅ [带你手撕 Spring][Spring]  
>  ✅ [Java 初阶][Java 2]

![在这里插入图片描述][7b7478e55aa24a948b358051ef941b6a.webp_pic_center]

[95f08590833d45bfa7372c503712b39e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/05/04/b073e296096b4ffc9630a41a1046839d.png
[Link 1]: https://bbs.csdn.net/forums/45c04d3f41cc4dadaf312be1d1379b45?category=10003
[Link 2]: https://jiliu.blog.csdn.net/
[Java]: https://blog.csdn.net/qq_37967783/category_12399402.html
[Java 1]: https://blog.csdn.net/qq_37967783/article/details/130940512
[2023_OD_A_B_ _]: https://blog.csdn.net/qq_37967783/category_12389634.html
[_100_ Java _]: https://blog.csdn.net/qq_37967783/category_12388267.html
[Link 3]: https://blog.csdn.net/qq_37967783/category_12380337.html
[Link 4]: https://blog.csdn.net/qq_37967783/category_12391346.html
[Spring]: https://blog.csdn.net/qq_37967783/category_12391987.html
[Java 2]: https://blog.csdn.net/qq_37967783/category_9902143.html
[7b7478e55aa24a948b358051ef941b6a.webp_pic_center]: https://img-blog.csdnimg.cn/7b7478e55aa24a948b358051ef941b6a.webp#pic_center