专家深入解析跨站请求伪造漏洞（上）

核心提示：当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时，我们就说发生了跨站请求伪造(CSRF)攻击，专家深入解析跨站请求伪造漏洞（上），这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”，因为互联网上的许多站点对此毫无防备，以便在站点没有采取防护措施的情况下也能够免受CSRF攻击，

当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时，我们就说发生了跨站请求伪造(CSRF)攻击。这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”，因为互联网上的许多站点对此毫无防备，同时还因为这类攻击一直为web开发和安全社区所忽视。

一、概述

当存心不良的Web站点导致用户的浏览器在可信的站点上进行非意愿的活动时，我们就说发生了跨站请求伪造(CSRF)攻击。跨站请求伪造攻击亦称跨站引用伪造（XSRF），会话叠置和混淆代理人攻击。我们之所以使用术语CSRF，是因为它是描述这类攻击时最常用的术语。这些攻击被誉为基于Web的漏洞中的“沉睡的巨人”，因为互联网上的许多站点对此毫无防备，同时还因为这类攻击一直为Web开发社区和安全社区所忽视。目前，人们尚未将CSRF攻击列入Web安全威胁分类中，学术和技术文献也鲜有述及CSRF攻击者。CSRF攻击易于识别、易于利用同时也易于修补。它们之所以存在，是由于Web开发人员对CSRF攻击的根源和严重性的无知所致。Web开发人员也可能还误认为对更有名的跨站脚本（XSS）攻击的防御措施同时也能防御CSRF攻击。

在本文的下篇中将向读者介绍本年度在一些大型站点上发现的几个严重的CSRF漏洞，这些漏洞允许攻击者采集用户的电子邮件地址，侵犯用户隐私并操控用户帐户。同时，我们还将介绍对服务器端的改造方案，以便使站点能够全面防御的CSRF攻击。该方案有多种优点，这得益于它们不使用服务器的状态，同时不妨碍典型的web浏览活动。此外，我们也介绍了一个客户端的浏览器插件，它可以保护用户免受某些类型CSRF攻击。服务器端保护措施能使站点本身具备完全防御CSRF攻击的能力，而客户端保护措施使用户未雨绸缪，提前采取防疫措施，以便在站点没有采取防护措施的情况下也能够免受CSRF攻击。尽管现在Web开发人员已经有了防御此类攻击的工具，但是仍希望大家能提高对CSRF攻击的防范意识。