Web 开发者的安全必修课：三大致命漏洞（第三章）

小七

接第二章：安全必修课（第二章）

三、CSRF（Cross-site request forgery）跨站请求伪造

攻击者利用用户已登录的会话状态，诱导用户访问恶意页面，从而以用户身份发起非预期的请求（如转账、修改密码、更改邮箱等）。核心问题是后端未校验请求的合法性

攻击原理：

用户登录合法网站：用户登录 example.com，会话 Cookie 存储在浏览器中

用户访问恶意页面：攻击者诱导用户点击链接或访问包含恶意代码的页面（如钓鱼邮件、广告）

自动发起伪造请求：恶意页面自动向 example.com 发起请求（如转账操作），浏览器自动携带用户的 Cookie

后端执行非法操作：后端未校验请求来源，直接执行操作

防御方式：

防御核心是“验证请求是否来自合法来源”

使用 CSRF Token：为每个会话生成唯一 Token，嵌入表单或请求头，后端校验 Token 合法性

[AppleScript] 纯文本查看 复制代码

// Spring Security 配置
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf() // 启用 CSRF 防护
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

[AppleScript] 纯文本查看 复制代码

<input type="hidden" name="csrf" value="${csrf.token}">

敏感操作二次验证[color=rgb(1,]：

[AppleScript] 纯文本查看 复制代码

// 转账前要求用户输入密码或验证码
function confirmTransfer() {
    const password = prompt('请输入支付密码');
    if (password) {
        // 提交表单
    }
}

避免使用 GET 请求修改数据：

[AppleScript] 纯文本查看 复制代码

<!-- 错误：GET 请求触发敏感操作 -->
<a href="https://bank.com/transfer?to=attacker&amount=100000">点击领奖</a>

<!-- 正确：仅用 POST 请求 -->
<form method="POST" action="/transfer">
  <!-- 包含 CSRF Token -->
</form>

这篇文章如果作为纯粹的 Web 安全来看的话是比较片面的，实际上攻击方式远远不止这几个。前端开发的朋友简单了解一下最常见的安全问题还是有必要的，其余的当作扩展知识来对待就好。

小七

完结，仅供个人参考