什麼是跨站請求偽造？

CSRF 或跨站點請求偽造是一種網站漏洞，攻擊者可以在該漏洞中導致受害者在另一個網站上的會話中執行操作。使 CSRF 具有如此大風險的一件事是它甚至不需要用戶交互，所需要的只是讓受害者查看包含漏洞利用程序的網頁。

提示：CSRF 通常發音為一個字母一個字母或“sea surf”。

CSRF 攻擊是如何工作的？

該攻擊涉及攻擊者創建一個網站，該網站具有在另一個網站上發出請求的方法。這可能需要用戶交互，例如讓他們按下按鈕，但也可能是無交互的。在 JavaScript 中，有多種方法可以使操作自動發生。例如，用戶看不到零×零像素的圖像，但可以對其進行配置，使其“src”向另一個網站發出請求。

JavaScript 是一種客戶端語言，這意味著 JavaScript 代碼在瀏覽器中運行，而不是在網絡服務器上。由於這一事實，發出 CSRF 請求的計算機實際上是受害者的計算機。不幸的是，這意味著請求是使用用戶擁有的所有權限進行的。一旦攻擊網站誘騙受害者發出CSRF請求，該請求與正常發出請求的用戶基本上沒有區別。

CSRF 是針對 Web 瀏覽器的“混淆代理攻擊”的一個示例，因為瀏覽器被沒有這些權限的攻擊者誘騙使用其權限。這些權限是您到目標網站的會話和身份驗證令牌。您的瀏覽器會在其發出的任何請求中自動包含這些詳細信息。

CSRF 攻擊的安排有些複雜。首先，目標網站需要有一個表單或URL，它具有刪除您的帳戶等副作用。然後攻擊者需要製作一個請求來執行所需的操作。最後，攻擊者需要讓受害者在登錄目標網站時加載包含漏洞利用程序的網頁。

為了防止 CSRF 問題，您可以做的最好的事情是包含一個 CSRF 令牌。CSRF 令牌是設置為 cookie 的隨機生成的字符串，該值需要包含在每個響應中，以及包含該值的請求標頭。雖然 CSRF 攻擊可以包含 cookie，但無法確定 CSRF 令牌的值來設置標頭，因此攻擊將被拒絕。