IE8与点击绑架和CSRF的攻防战

核心提示：那么，IE8能否为我们的Web安全带来一缕清风吗？一、Web安全形势日益严峻据微软称，IE8与点击绑架和CSRF的攻防战，IE8在开发过程中就考虑到了已有的和正在浮现的各种Web威胁，在各种Web应用程序安全性漏洞中，点击劫持可以使用户在不知不觉中单击一个模糊的或者隐藏的web元素，从 而导致非本意的处理，最阴险的漏洞

那么，IE8能否为我们的Web安全带来一缕清风吗？

一、Web安全形势日益严峻

据微软称，IE8在开发过程中就考虑到了已有的和正在浮现的各种Web威胁。

在各种Web应用程序安全性漏洞中，最阴险的漏洞之一 称为跨站请求伪造（CSRF），人们将其称为Web漏洞中“沉睡的巨人”，并且这种漏洞修补起来也颇为不易。浏览器安全模型的设 计思想是允许多个网站同时交互、站点之间可以无缝浏览，而CSRF攻击恰恰就是利用了这一点。

随着个人数据等有价值的信息不断 从最终用户的PC向流行的Web应用程序迁移，CSRF及其他Web 应用程序漏洞将日益受到人们的关注。

二、XDomainRequest对象应运而生

为了抵抗CSRF攻击，IE8引入了一个XDomainRequest对象，它在允许以服务器权限跨域通信的同时还包含一些防御CSRF攻击的特殊 限制。最终用户可以通过在不使用web应用的时候退出敏感的网站以及使用InPrivate Browsing会话浏览页面来减轻CSRF攻击的影 响，因为InPrivate会话会清空Cookie，所以无法通过CSRF攻击来替换缓存的Cookie。

然而，Web应用程序本身必须设计成能够防御CSRF攻击。设计良好的Web应用程序经常通过挑战/令牌或者类似的策略来检查非受害 者用户本意发出的恶意请求来自我保护。遗憾的是，挑战/令牌和类似的策略本身却受到某些漏洞的影响，其中第一种漏洞是跨站 点脚本攻击（XSS）。如果一个由令牌保护的Web应用程序包含一个跨站点脚本攻击安全漏洞，那么它很可能会由于安全令牌失窃而导致CSRF攻击。

幸运的是，IE8包含一个XSS过滤器和一些其他功能，可以帮助抵御XSS攻击，从而降低令牌失窃的几率。除此之外，还可以利用点击劫持来协助实施CSRF攻击。点击劫持可以使用户在不知不觉中单击一个模糊的或者隐藏的web元素，从 而导致非本意的处理。一次成功的点击劫持攻击可以轻易化解通过使用户确认其交易的CSRF保护措施。