1、CSRF跨站请求伪造的流程
该过程存在三方:用户客户端、正常网站A、恶意攻击网站B(前提存在CSRF漏洞)
1、用户登陆了正常网站A输入了相关的验证信息。
2、正常网站将cookie写入浏览器,实现了状态保持
3、用户在未退出正常网站的情况下访问了恶意网站
4、恶意网站指定了action=“正常网站的url”,伪造了请求参数。
5、用户在主观未知的情况下,再次访问了正常网站,发送了恶意网站伪造的请求参数。
注意: 恶意网址是不知道是谁访问的它(通俗点和钓鱼差不多),并且伪造的恶意请求是用户自己发送的。
2、跨站请求防护的实现
1、后端服务器首先需要开发csrf保护,post、put、delect、patch,一般不会验证get请求。
2、后端会生成csrf_token,存入到浏览器的cookie中,其次存入到表单中。
3、当用户发起请求时,会自动携带cookie中的csrf_token,后端会比较cookie中和表单中的csrf_token值,
4、不一致,请求操作失败。
3、代码演示
(1)未进行 csrf 校验的 WebA
1>后端代码的实现
from flask import Flask, render_template, make_response
from flask import redirect
from flask import request
from flask import url_for
app = Flask(__name__)
@app.route('/', methods=["POST", "GET"])
def index():
if request.method == "POST":
# 取到表单中提交上来的参数
username = request.form.get("username")
password = request.form.get("password")
if not all([username, password]):
print('参数错误')
else:
print(username, password)
if username == 'laowang' and password == '1234':
# 状态保持,设置用户名到cookie中表示登录成功
response = redirect(url_for('transfer'))
response.set_cookie('username', username)
return response
else:
print('密码错误')
return render_template('temp_login.html')
@app.route('/transfer', methods=["POST", "GET"])
def transfer():
# 从cookie中取到用户名
username = request.cookies.get('username', None)
# 如果没有取到,代表没有登录
if not username:
return redirect(url_for('index'))
if request.method == "POST":
to_account = request.form.get("to_account")
money = request.form.get("money")
print('假装执行转操作,将当前登录用户的钱转账到指定账户')
return '转账 %s 元到 %s 成功' % (money, to_account)
# 渲染转换页面
response = make_response(render_template('temp_transfer.html'))
return response
if __name__ == '__main__':
app.run(debug=True, port=9000)
2>前端代码实现
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录</title>
</head>
<body>
<h1>我是网站A,登录页面</h1>
<form method="post">
<label>用户名:</label><input type="text" name="username" placeholder="请输入用户名"><br/>
<label>密码:</label><input type="password" name="password" placeholder="请输入密码"><br/>
<input type="submit" value="登录">
</form>
</body>
</html>
3>前端转账页面
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>转账</title>
</head>
<body>
<h1>我是网站A,转账页面</h1>
<form method="post">
<label>账户:</label><input type="text" name="to_account" placeholder="请输入要转账的账户"><br/>
<label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
<input type="submit" value="转账">
</form>
</body>
</html>
(2)攻击网站B的代码
1>后端代码
from flask import Flask
from flask import render_template
app = Flask(__name__)
@app.route('/')
def index():
return render_template('temp_index.html')
if __name__ == '__main__':
app.run(debug=True, port=8000)
2>前端代码
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
<h1>我是网站B</h1>
<form method="post" action="http://127.0.0.1:9000/transfer">
<input type="hidden" name="to_account" value="999999">
<input type="hidden" name="money" value="190000" hidden>
<input type="submit" value="点击领取优惠券">
</form>
</body>
</html>