跨站请求伪造(CSRF)-简述

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 或者 XSRF， 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。[1] 跟跨网站脚本（XSS）相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任。(*)

当我们请求一个目标网站时，浏览器会发送该目标网站相关的cookie信息。当我们浏览其他的网站时，如果我们没有退出该目标网站，而其他的网站有一个向目标网站的操作链接，这时因为我们在线，且有cookie信息，那么目标网站就会认为这是一个合法的请求而执行。但是这个操作不是我们自己请求的，而是恶意者用我们自己被认证过的身份执行的操作。

这种恶意的网址并不需要一个特定的网站，它可以藏身在任何一个由用户生成内容的网站中，如论坛，博客等。

如果有账户名为Alice的用户访问了恶意站点，而她之前刚访问过在线交易网站，登录信息尚未过期，那么她就会损失1000资金。

Get方式攻击：

假设一个在线交易网站有一个转账的url：

http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

一个恶意者在另一个网站添加了如下代码

<img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">

Post方式攻击：

//目标网站的form
<form id="form" action="withdraw/trans" method="post">
<input name="account" type="text"/>
<input name="amount" type="text"/>
<input name="forAccount" type="text"/>
</form>

恶意链接

//指向恶意Html的链接
<img src="http://other/maliciouspage.html"/>

恶意html：

<html>
<head>
<script type="text/javascript">
window.onload = function () {
document.myform.submit(); 
}
</script>
 </head>
<body>
<form id="myform" name="myform" action="withdraw/trans" method="post"/>
 <input name="account" type="hidden" value="Alice" />
<input name="amount" type="hidden" value="1000"/>
 <input name="forAccount" type="hidden" value="Badman"/>
</form>
</body>
</html>

恶意Html部署在http://other/maliciouspage.html。恶意链接在任何一个可以由用户生成内容的网站，当有用户是Alice浏览到一个有恶意链接的网站时，就会加载恶意html，执行form方法。

@Html.AntiForgeryToken

如何避免这个恶意请求呢？

既然浏览器是不可信的，那么就用一个非浏览器的而是跟页面自身（用户唯一）才有的唯一随机值作为验证对象。

@Html.AntiForgeryToken的验证流程：

生成验证值：

1. 当在View中调用AntiForgeryToken时会先生成一个cookie的名称，该名称的前缀为"_RequestVerificationToken"。

2. 如果当前的请求中已有该cookie，则直接对该cookie的值进行序列化（包含加密解密操作）得到AntiForgeryData对象。如果没有该cookie则生成一个AntiForgeryData对象。

3. 创建cookie，名称为1中生成的值，值为2中AntiForgeryData对象解析后的字符串（前后值会不一样，因为还有其他的随机值作为解析参数）。

4. @Html.AntiForgeryToken会生成一个名为"_RequestVerificationToken"的隐藏控件，该控件的值是根据现有的AntiForgeryData对象再创建一个新的AntiForgeryData对象，序列化的字符串。

匹配验证值：

1. 在form提交时，服务端会先根据之前生成cookie的逻辑再次获取到cookie名称，如果没有找到对应cookie就抛出异常，如果找到该cookie，就解析解密为AntiForgeryToken对象。

2. 然后在表单中查找名称为"_RequestVerificationToken"的控件，没有找到抛出异常，找到的话该控件的值解析解密为AntiForgeryToken对象.

3. 隐藏控件中的AntiForgeryToken和cookie解析解密的AntiForgeryToken对象匹配，一致为合法，不一致为非法。

因为@Html.AntiForgeryToken的值是随机且加密的，所以恶意html的表单里很难获取到正确的值。

Cookie:

    HTTP/1.1 200 OK
    Cache-Control: private
    Set-Cookie: __RequestVerificationToken_L012Y0FwcDEx=EYPOofprbB0og8vI+Pzr1unY0Ye5BihYJgoIYBqzvZDZ+hcT5QUu+fj2hvFUVTTCFAZdjgCPzxwIGsoNdEyD8nSUbgapk8Xp3+ZD8cxguUrgl0lAdFd4ZGWEYzz0IN58l5saPJpuaChVR4QaMNbilNG4y7xiN2/UCrBF80LmPO4=; path=/; HttpOnly

Form:

 <form action="..." method="post">
<input name="__RequestVerificationToken" type="hidden" value="yvLaFQ81JVgguKECyF/oQ+pc2/6q0MuLEaF73PvY7pvxaE68lO5qgXZWhfqIk721CBS0SJZjvOjbc7o7GL3SQ3RxIW90no7FcxzR6ohHUYEKdxyfTBuAVjAuoil5miwoY8+6HNoSPbztyhMVvtCsQDtvQfyW1GNa7qvlQSqYxQW7b6nAR2W0OxNi4NgrFEqbMFrD+4CwwAg4PUWpvcQxYA==" />
</form>

@Html.AntiForgeryToken的使用：

//Razor:
<form id="form" action="withdraw/trans" method="post">
   @Html.AntiForgeryToken()
    <input name="account" type="text"/>
    <input name="amount" type="text"/>
    <input name="forAccount" type="text"/>
</form>

//Controller:添加特性[ValidateAntiForgeryToken]且必须是HttpPost
[HttpPost]
[ValidateAntiForgeryToken]
public ActinResult Trans(string account,double amount,string forAccount)
{
    return View();
}

get请求最好是只读的，对于有操作的请求最好用post来实现。

参考：

• Aretch

• *