上图是网上看到的一个跨站攻击示意图,php的框架laravel在表单里加入了一个CSRF_TOKEN来防止跨站攻击,想问这个随机字符串是在什么时候发挥作用的呢?
这种攻击手法是这样的:
1.用户使用浏览器访问SERVERA并以管理员身份登陆(此时用户在SERVERA上是已经认证过的)
2.用户访问SERVERB的某个恶意页面,这个页面可能会通过AJAX或者IFRAME来访问SERVERA的一个地址(模拟用户访问A,但此时用户并不知情)
3.SERVERA接受此次访问并完成相应操作
防御原理:
SERVERA采用CSRF_TOKEN时,每次提交的form都会包含一个TOKEN,服务器SERVERA接收到后会验证这个TOKEN
由于这个TOKEN是由SERVERA下发给用户的,所以只有SERVERA和用户知道,这样可以确保在第3步的时候SERVERB构造的攻击链接无法通过SERVERA的验证。
获取表单输入之前,就要先验证传入的 csrf 字段是否有效。
简单来说,每次出现表单提交的时候,在表单中增加一个 隐藏的随机的 csrf 字段,随同表单一起提交,服务端要先判断提交的 csrf 字段是否与服务器上的 csrf 字段一致,如果不一致就直接报错。
我觉得这个是用来防止别的ajax访问,还有就是其他这些软件访问;因为要想使用一个使用了CSRF_TOKEN的接口,你必需得找到获得html中的CSRF_TOKEN随机串。
以上是个人理解
csrf攻击都是面对各种表单提交等会修改网站数据的事件,但对于每个用户这个事件的url地址一般是固定的。用户可以在你的网站内部访问这个地址,那当其已登录的情况下,同样可以通过网站外部成功访问这个地址,如自己在地址栏输入:某网站/转账?to="张三"&money="100",更特殊的,可以通过js脚本隐式访问这个url,暗中修改网站数据,那么第三方网站可以访问这个地址吗?答案是可以的,就像你可以在自己网站跳转百度,进入自己的百度首页(有用户信息)。因此第三方网站可以利用你的cookie进行暗中操作,所以用户与网站间需要某种“协议”来防止这种随意的数据修改,表单验证中带上自有你访问此网页才能获取的token,验证通过,才能执行,此时,为了安全,你当然也不能通过地址栏输入:某网站/转账?to="张三"&money="100"来转账了。