这里我先不解释什么是csrf以及如何预防,先看实验
我现在有一个很简单的站点,它有两个API接口,如下所示:
// 模拟登录
app.get('/api/login', function(req, res) {
res.cookie('token', 'asdf')
res.json({
msg: '登录成功'
})
})
// 模拟删除
app.post('/api/delete', function(req, res) {
res.json({
msg: '文章已删除'
})
})
app.listen(3050);
现在我访问/api/login表示登录成功,然后后端会设置cookie
现在有个恶意攻击者,它知道通过向http://127.0.0.1:3050/api/delete发送post请求可以删除用户文章,只要用户已经登录了,它就可以这么做
第一步:它向用户发送了一封邮件(邮件可以是HTML格式的哦),告诉他中奖了
<!DOCTYPE html>
<html lang="en">
<head>
<title>Document</title>
</head>
<body>
<form action="http://127.0.0.1:3050/api/delete" method="POST">
<input value="1" name="id" hidden> <!--删除id为1的文章-->
<button type="submit">恭喜你中奖啦,去看看</button>
</form>
</body>
</html>
用户点开邮件,看到了下面的页面
看到自己中奖了很高兴,迫不及待的点了按钮去领奖,于是出现了下面的效果
哈哈,它成功删除了自己的文章。
你可能会奇怪,从http://127.0.0.1:3060向http://127.0.0.1:3050发送请求,不是跨域了吗?为什么还能携带cookie?没错,传统的表单就是存在这样的问题,这是历史遗留问题,表单提提交是允许跨域的
现在说下什么是csrf跨站请求伪造,它其实就是利用技术手段欺骗用户的浏览器,去访问一个已经认证过的网站,并执行一些恶意操作,由于用户已经认证过,所以服务器端会认为这是用户发送的合法请求。如何解决这个问题呢,首先就是不要用GET请求,尽管POST请求也无法避免这个问题,但是起码要安全点。然后就是对于传统的表单提交,后端可以在请求表单时向表单中添加一个随机token,表单提交后后端验证token有效性,这样就可以知道是不是用户提交的了。对于前后端分离的项目,这个问题就更好解决了,可以把后端返回的token存到localStorage中,这样在跨域的情况下攻击者是无法获取token的,自然也就无法钓鱼了