本文共 1199 字，大约阅读时间需要 3 分钟。

这段时间很多文章标题都是面试官，所以跟个风，这篇文章也以面试官开头，主要内容是关于CSRF。全称叫做Cross-site request forgery，中文全称叫做跨站请求伪造。

一、CSRF是什么？

刚刚已经说了，全称叫做夸张请求伪造，很明显就是和安全有关的一个知识点，意思是攻击者通过伪造用户的浏览器的请求，向访问一个用户自己曾经认证访问过的网站发送出去，使目标网站接收并误以为是用户的真实操作而去执行命令。

举个例子来解释，你去某网买东西，输入了用户名密码，攻击者在另外一个页面重新使用了你的用户名密码。比如发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账。

所以说危害那是相当严重，我们使用一张图来表示一下这个过程吧。

二、你的钱为什么会不见了

其实这个步骤和刚刚那个图是一样的。现在有张三和李四进行转账。

1、张三给李四100块，执行的操作是：

xxx/transfer.php?from=张三&money=100&to=李四

**注意此时的张三没有把页面关闭掉。**这里的前缀我没有写，因为文章审核通过不了。

2、黑客想把钱转给自己，执行的操作是：

xxx/transfer.php?from=张三&money=100&to=黑客

很明显会失败，这是因为张三在登录系统的时候会通过cookie，把自己的session传递给后台服务器。此时系统检查当前的session中的身份，发现不正确就拒绝了。

3、黑客继续想办法，使用不良网站诱导：

网站的连接很有颜色感，让张三欲罢不能，于是点击了诱导链接A。此时返回给黑客的信息就是：

如果此时张三刚刚给李四转完钱，并且页面还没关闭，就点击了这个链接，那么就会执行上面的操作。这是因为此时的黑客身份就是张三的信息，银行不知道因为是张三，于是接受了请求。

三、如何防范

1、验证码

这个道理很简单，也是目前使用最广泛的一种方式。验证码则强制用户必须与应用进行交互，才能完成最终请求。但该方式用户体验较差；

2、Referer Check防盗链

可以检测请求是否来自合法的源，如果请求不是来自合法源，则很可能发生了CSRF攻击，但服务器并不能在任何时候都能获取到Referer；

3、Token

使用动态的Token。使用真随机数或者经过密钥加密的字符串作为token值，使用方式可参考重放攻击防御中的token，该防御方式需要注意token的完全随机和有效期，一个经常无规则变动的token值往往是无法破解的。

具体的更加详细的就不说了。这个是面试中很常问的一个面试点。

转载地址：http://cpbdi.baihongyu.com/