深入理解CSRF攻击:原理、案例与全方位防御指南

最新推荐文章于 2025-07-06 22:40:15 发布
原创 最新推荐文章于 2025-07-06 22:40:15 发布 · 1k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

📌 引言:为什么你的账号会"自动"转账?

当用户访问恶意网站时,竟能神不知鬼不觉地完成社交账号绑定、银行转账等操作——这就是CSRF(跨站请求伪造)的可怕之处。本文将用黑客视角+开发者防御思维,深度解析这种位列OWASP Top 10的经典漏洞。

一、CSRF攻击原理深度剖析

1.1 攻击三要素

 

用户已登录目标网站
 

用户访问恶意页面
 

恶意页面发送伪造请求
 

目标网站执行危险操作
 

1.2 关键攻击条件
 

  •  
    请求可预测(参数无随机性)
     
  •  
    浏览器自动携带身份凭证(Cookie/Session)
     
  •  
    目标操作无二次验证
     
 

1.3 与XSS的区别
 

特征CSRFXSS
攻击方向跨站请求伪造跨站脚本注入
利用方式利用用户登录态窃取用户数据
防御重点请求合法性校验输入输出过滤
 

 

二、4种典型攻击场景复现
 

2.1 GET型攻击(银行转账案例)
 

<!-- 恶意页面代码 -->
<img src="http://bank.com/transfer?to=hacker&amount=10000" width="0" height="0">
 

2.2 POST型攻击(修改邮箱案例)
 

<form id="csrfForm" action="http://social.com/change_email" method="POST">
    <input type="hidden" name="email" value="hacker@evil.com">
</form>
<script>document.getElementById('csrfForm').submit();</script>
 

2.3 JSON API攻击(结合CORS漏洞)
 

// 利用CORS错误配置发送请求
fetch('http://api.example.com/update_profile', {
    method: 'POST',
    headers: {'Content-Type': 'application/json'},
    body: JSON.stringify({is_admin: true}),
    credentials: 'include'
});
 

2.4 文件上传攻击(结合XSS)
 

<input type="file" name="avatar" onchange="upload()">
<script>
function upload() {
    var form = new FormData();
    form.append('file', this.files[0]);
    fetch('http://target.com/upload', {
        method: 'POST',
        body: form,
        credentials: 'include'
    });
}
</script>
 

 

三、5大防御方案与代码实现
 

3.1 CSRF Token方案(Django示例)
 

# settings.py
MIDDLEWARE = [
    'django.middleware.csrf.CsrfViewMiddleware'
]
​
# 模板中插入Token
<form method="post">
    {% csrf_token %}
    <!-- 表单内容 -->
</form>
​
# 视图层验证
from django.views.decorators.csrf import csrf_protect
@csrf_protect
def transfer(request):
    # 业务逻辑
 

3.2 SameSite Cookie属性
 

// Spring Boot配置
@Bean
public CookieSerializer cookieSerializer() {
    DefaultCookieSerializer serializer = new DefaultCookieSerializer();
    serializer.setSameSite("Strict");
    return serializer;
}
 

3.3 双重提交Cookie验证
 

// 前端生成Token并写入Cookie和请求头
const token = generateRandomToken();
document.cookie = `CSRF-TOKEN=${token}; Path=/; Secure`;
axios.defaults.headers.common['X-CSRF-TOKEN'] = token;
 

3.4 关键操作二次验证
 

<!-- 转账前的密码确认 -->
<input type="password" name="confirm_password" required>
 

3.5 防御方案对比
 

方案防御强度实现复杂度适用场景
CSRF Token★★★★★Web表单提交
SameSite Cookie★★★★☆现代浏览器环境
二次验证★★★★★金融等高敏感操作
 

 

四、渗透测试实战:如何检测CSRF漏洞?
 

4.1 手工测试步骤
 

  1.  
    抓取目标请求(Burp Suite)
     
  2.  
    移除CSRF Token参数
     
  3.  
    重放请求观察响应
     
 

4.2 自动化工具使用
 

# 使用OWASP ZAP进行扫描
zap-cli quick-scan -s xss,sqli,csrf http://example.com
 

4.3 漏洞修复验证
 

POST /change_password HTTP/1.1
Host: example.com
Cookie: sessionid=xyz123
Content-Type: application/x-www-form-urlencoded
​
new_password=hacked&csrf_token=missing   # 预期返回403错误
 

 

🔚 总结:CSRF防御架构设计
 

安全层级防御措施实施要点
客户端SameSite Cookie设置Strict/Lax模式
服务端CSRF Token+校验随机化+绑定会话
业务逻辑敏感操作二次验证密码/短信验证码
监控异常请求报警检测缺失Token的请求
 

安全箴言
 

 
 
"没有绝对的安全,只有分层的防御体系。" —— 匿名安全工程师
 

 

 

📚 扩展阅读
 

  1.  
    OWASP CSRF防御备忘单
     
  2.  
    RFC 6265 - HTTP状态管理机制
     
  3.  
    Spring Security CSRF官方文档
     

                

        

    

  



    

      

        

            

              
                
                  KBkongbaiKB
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
CSRF漏洞场景复现

				
			

			

				

					m0_56578216的博客
				

				

					08-28
					
					302
					
				

			

		

		

			
				
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击攻击的重点在于更改状态的请求,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状态的请求,例如转移资金、修改密码等操作。

			
		

	



                

            
              



	

		

			

				
					
CSRF(跨站请求伪造)和SSRF(服务端请求伪造)漏洞复现:风险防护方法

				
			

			

				

					weixin_43263566的博客
				

				

					08-30
					
					1208
					
				

			

		

		

			
				
CSRF漏洞指的是攻击者利用受害者的身份,在其不知情的情况下发送恶意请求给目标网站。由于目标网站无法区分恶意请求和正常请求,因此会执行该请求。这使得攻击者能够以受害者的名义执行一些不被授权的操作,例如更改密码、发表言论、转账等。不过我这里是测试就直接在浏览器打开脚本复现成功,其他类型的攻击方式操作也是这样。SSRF漏洞指的是攻击者通过操纵目标Web应用程序中的请求来发起伪造请求。攻击者利用这种漏洞可以访问应用程序所在服务器上的本地资源,或者攻击内部网络中的其他系统,并执行恶意操作。

			
		

	



              


  
              

                


	

		

			

				
					
CSRF原理&防御&实战

				
			

			

				

					璇转的鱼净化之路
				

				

					05-09
					
					1247
					
				

			

		

		

			
				
了解了CSRF攻击原理防御方法,也了解到了Spring Security框架对该攻击的处理,同时也对Http的相关内容有了一些新的认知,总结来说,虽然做的是一个小的需求,但是收获挺大的!

			
		

	





	

		

			

				
					
CSRFSSRF漏洞

				
			

			

				

					个人学习参考
				

				

					03-09
					
					1167
					
				

			

		

		

			
				
本篇文章仅作为本人学习笔记CSRF:跨站请求伪造 (Cross-Site Request Forgery, CSRF),也被称为 One Click Attack 或者 Session Riding ,通常缩写为 CSRF,是一种对网站的恶意利用。尽管听起来像 XSS,但它 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装来自受信任用户的请求来利用受信任的网站。

			
		

	



		

			
		



	

		

			

				
					
CSRF漏洞复现

				
			

			

				

					zxcvbnmasdflzl的博客
				

				

					07-07
					
					936
					
				

			

		

		

			
				
如果可以,再去掉referer参数的内容,如果仍然可以,说明存在CSRF漏洞,可以利用构造外部form表单的形式,实现攻击。如果上述post方式对referer验证的特别严格,有的时候由于程序员对请求类型判断不是很严格,可以导致post请求改写为get请求,从而CSRF。直接以get请求的方式进行访问,如果请求成功,即可以此种方式绕过对referer的检测,从而CSRF。burp生成的exp有一个按钮,需要受害用户点击,改一下exp,改成直接访问链接就直接增加一个用户。如果可以,即存在CSRF漏洞

			
		

	





	

		

			

				
					
【软件测试进阶必学】:NextDate函数全方位优化指南

				
			

			

				

					
				

			

		

		

			
				
[【软件测试进阶必学】:NextDate函数全方位优化指南](https://www.edureka.co/blog/wp-content/uploads/2019/10/TreeStructure-Data-Structures-in-Python-Edureka1.png)  # 摘要 NextDate函数是软件开发中用于日期...

			
		

	





	

		

			

				
					
Java领域Web安全:防止XSSCSRF攻击

					
最新发布

				
			

			

				

					AI开发架构师
				

				

					07-06
					
					933
					
				

			

		

		

			
				
本文旨在为Java开发者提供全面的Web安全防护指南,特别聚焦于XSS和CSRF这两种最常见的安全威胁。我们将覆盖从基础概念到高级防护策略的全方位内容,帮助开发者理解、识别和防范这些安全风险。文章首先介绍XSS和CSRF的基本概念,然后深入分析其工作原理攻击方式。接着提供详细的防护策略和Java实现方案,包括代码示例和框架配置。最后讨论实际应用场景、工具推荐和未来发展趋势。XSS(跨站脚本攻击):攻击者向Web页面注入恶意脚本,当其他用户访问该页面时,脚本会在用户浏览器中执行。CSRF(跨站请求伪造)

			
		

	





	

		

			

				
					
[特殊字符] 前端安全终极指南:XSS/CSRF漏洞从入门到实战防御(含完整代码)[特殊字符]

				
			

			

				

					资深全栈架构师,乐于在 优快云 分享技术见解,与大家携手共进,共攀技术巅峰!
				

				

					04-16
					
					1323
					
				

			

		

		

			
				
📢无论你是刚入门的前端开发者,还是寻求进阶的安全工程师,本文将从零构建攻防实战场景,手把手教你彻底掌握XSSCSRF防御技巧!

			
		

	





	

		

			

				
					
【微信小程序安全无漏洞】:全方位防御机制隐私安全的终极指南

				
			

			

				

					
				

			

		

		

			
				
本文从微信小程序的安全角度出发,深入探讨了前端安全机制、后端安全策略、隐私保护措施以及安全漏洞的检测应对方法。通过分析小程序在数据传输、权限管理、服务器配置、数据库安全和隐私保护等方面的安

			
		

	





	

		

			

				
					
【uxyxuyxuy.zip】校园脚本安全加固:全方位安全分析防御技巧

				
			

			

				

					
				

			

		

		

			
				
[【uxyxuyxuy.zip】校园脚本安全加固:全方位安全分析防御技巧](https://blog.netwrix.com/wp-content/uploads/2023/02/940_3.png)  # 摘要 脚本安全加固在校园网络环境中尤为重要,因为这一环境存在独特的风险...

			
		

	





	

		

			

				
					
代码复现CSRF攻击并解决它

				
			

			

				

					kobe_okok的博客
				

				

					06-08
					
					1001
					
				

			

		

		

			
				
From 百度百科:CSRF跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。我们创建两个站点:
一个是正常的网站,没有防御CSRF攻击
另一个是黑客的网站,专门对没有CSRF的网站

			
		

	





	

		

			

				
					
CSRF 攻击详解:原理案例防御

				
			

			

				

					weixin_62428445的博客
				

				

					03-04
					
					1706
					
				

			

		

		

			
				
CSRF 攻击利用浏览器自动携带 Cookie 的特点,让受害者在不知情的情况下执行敏感操作。在 CTF 竞赛中,题目往往会设计场景,让参赛者通过 CSRF 触发反射型 XSS,从而获取管理员页面中的 flag。本文详细介绍了 CSRF 攻击原理、常见方式以及一个实战案例,并讨论了如何防御此类攻击。理解并掌握 CSRF 攻击有助于你在 CTF 中快速识别并利用漏洞,同时也能提高你对 Web 安全防护措施的理解。

			
		

	





	

		

			

				
					
MetInfo中CSRF漏洞复现

				
			

			

				

					2302_80256359的博客
				

				

					12-17
					
					403
					
				

			

		

		

			
				
我们可以看到后台已经有了我们的admin2用户。火狐浏览器用来做攻击方,Edge扮演受害者。这里我们同时用Edge和火狐浏览器。

			
		

	





	

		

			

				
					
7、csrf漏洞复现

				
			

			

				

					sigali的博客
				

				

					03-17
					
					1399
					
				

			

		

		

			
				
7、csrf漏洞复现
csrf全名为跨站请求伪造,是一种对网站的恶意利用,虽然听起来和xss很像,但是它们俩还是有很大的区别的。xss窃取了用户的cookie身份认证信息,而csrf没有窃取登录凭证,仅仅是“冒用”。
例如:
一个有csrf漏洞的A网站,网站B是攻击者构造的一个恶意网站,当用户没有退出A网站,或者用户登陆A网站的cookie没有过期,只要在同一个浏览器中打开这个网站B,攻击者就可以利用用户的身份进行用户才能进行的操作了。
这里我们用DVWA的靶场:
LOW等级
抓包后,去掉Referer字段

			
		

	





	

		

			

				
					
漏洞复现篇——CSRF漏洞的利用

					
热门推荐

				
			

			

				

					爱国小白帽
				

				

					02-25
					
					1万+
					
				

			

		

		

			
				
CSRF漏洞原理
CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF。
CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击...

			
		

	





	

		

			

				
					
CSRF漏洞之——漏洞复现

				
			

			

				

					wsnbbz的博客
				

				

					03-04
					
					3703
					
				

			

		

		

			
				
介绍
CSRF(Cross Site Request Forgery, 跨站请求伪造)是一种网络攻击方式,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF
CSRF漏洞是因为web应用程序在用户进行敏感操作时,如修改账号密码、添加账号、转账等,没有校验表单token或者http请求头中的referer值,从而导致恶意攻击者利用普通用户的...

			
		

	





	

		

			

				
					
如何挖掘CSRF漏洞CSRF漏洞修补建议

				
			

			

				

					jlangqi的博客
				

				

					08-22
					
					7919
					
				

			

		

		

			
				
序:
拿人家的手短,吃人家的嘴软。我又吃了坏蛋的饭,又拿了春秋的礼物,在坏蛋的胁迫下,在高铁上挥泪写下了这篇文章。因为高铁上没网,你们看到这篇文章的时候,估计我已经回去了。现在是北京时间2016年08月17日20:58:14   
坏蛋辞职了,坏蛋辞职了,王八蛋坏蛋,坏蛋,你不是人,吃喝嫖赌欠下3.5个亿,带着200亿魔法币跟小姨子跑了,我们没有办法,拿着文章换魔法币,原价100魔法币,200

			
		

	





	

		

			

				
					
CSRF攻击原理防御和相关漏洞复现

				
			

			

				

					qq_43710889的博客
				

				

					08-08
					
					2215
					
				

			

		

		

			
				
CSRF攻击原理防御和相关漏洞复现
CSRF(Cross-site request forgery)跨站请求伪造,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

CSRF攻击原理及过程:
过程
1.用户打开浏览器,访问受信任银行网站,输入用户名密码请求登陆网站
2.在

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值