什么是CSRF(Cross Site Request Forgery)
我们来举个例子,假设有一个银行的网站提供已登陆的用户向其他银行账户转账的功能,可能在前端页面上有这样一个表单。
<form method="post"action="/transfer">
<input type="text"name="amount"/>
<input type="text"name="routingNumber"/>
<input type="text"name="account"/>
<input type="submit"value="Transfer"/>
</form>
对应的HTTP请求可能是这样的
POST /transfer HTTP/1.1
Host: bank.example.com
Cookie: JSESSIONID=randomid
Content-Type: application/x-www-form-urlencoded
amount=100.00&routingNumber=1234&account=9876
现在假设你登陆银行的网站,在没有登出的情况下,你访问了一个攻击者的网站,攻击者网站上可能会有这样的HTML代码。
<form method="post"action="https://bank.example.com/transfer">
<input type="hidden"name="amount"value="100.00"/>
<input type="hidden"name="routingNumber"value="evilsRoutingNumber"/>
<input type="hidden"name="account"value="evilsAccountNumber"/>
<input type="submit"value="领奖!"/>
</form>
你喜欢领奖,所以你点击了领奖按钮。在这样过程中,你无意中转了100元给攻击者。在这种情况下,尽管攻击者的网站看不到你银行网站的cookie,但是在你点击领奖时,银行网站的cookie随着攻击者网站请求一起发出去了。
更坏的情况下,刚CSRF攻击的流程都不需要你点击任何按钮,在网页上可以通过javascript脚本直接自动运行。更近一步,当你访问可信的网站,但网站被XXS攻击劫持,也可以触发CSRF攻击。