专家深入解析跨站请求伪造漏洞（上）

核心提示： Cookie在用户隐私方面的负面影响导致了“隐私权偏好选项平台” (Platform for Privacy Preferences，P3P)的出现，专家深入解析跨站请求伪造漏洞（上）(10)，P3P“提供了通用的语法和传输机制，使得Web站点能够将网站

Cookie在用户隐私方面的负面影响导致了“隐私权偏好选项平台” (Platform for Privacy Preferences，P3P)的出现。P3P“提供了通用的语法和传输机制，使得Web站点能够将网站对客户隐私的处理情况传达给Internet Explorer 6(或者其他任何用户代理)”。从Internet Explorer 6起，微软公司开始要求所有站点包含一个P3P策略，以便判断接受第三方Cookie。

按照微软公司的说法：

先进的cookie过滤技术，会对Web 站点的隐私做法进行评测，并根据站点的策略跟用户设置的比较结果来决定接受哪些Cookie。根据默认设置，用于收集个人标识信息的Cookie和不允许用户进行选择的Cookie被认为是“不能令人满意的”。默认时,将在浏览结束时把第一方中的不能令人满意的Cookie删掉，并拒绝第三方环境中不能令人满意的Cookie。（注意，P3P政策没有进行验证。所以如果一个站点要求具有一项可接受的政策，Internet Explorer就会允许第三方Cookie。）

假设一个用户正在浏览一个页面，而该页面包含了一张位于第三方站点上的图像。那么在P3P的环境中，虽然用户所在的页面被认为是安全的，但是第三方站点仍可能存在威胁。 对于CSRF漏洞来说情况正好相反，虽然第三方站点（是潜在的攻击目标）是安全的，但是用户所在的页面却存在潜在的危害。如果Internet Explorer认为一个第三方站点是危险的，那么它就会阻止向那个站点发送cookes。这样做能够在使用会话cookie的情况下有效地阻止CSRF攻击 ，因为Internet Explorer从跨站请求中提取验证信息。

Internet Explorer的P3P政策对CSRF漏洞的影响非常有趣：具有有效P3P政策的站点无法防范CSRF攻击(Internet Explorer认为这些站点是安全的，并且允许Cookie），而没有该政策的站点却能防御（Internet Explore认为这些站点是危险的，并拦阻Cookie）CSRF攻击。 注意，这些只对使用Cookie进行认证的受CSRF漏洞影响的站点有效。使用其它的类型的认证的站点可能仍然对CSRF攻击有脆弱性。

总而言之，当使用会话cookie进行认证并且目标站点没有实现P3P政策的时候，Internet Explorer使用P3P能够让用户的IE免受CSRF攻击。这项保护措施是P3P政策的无心插柳之作，因为它的本意并非防止CSRF攻击。所以，站点应该实现我们的建议的服务器端保护措施，具体如本文下篇所述。

九、小结

本文我们对跨站请求伪造攻击的原理做了深入分析，并指出了该漏洞的根本原因所在；同时介绍了该漏洞的攻击向量，以及它与跨站脚本攻击之间的关系。之后后，说明了现有的安全模型，如同源策略等是无法防御该漏洞的。最后，说明了P3P对于跨站请求伪造的作用。

在下篇中，我们将向读者介绍在一些大型站点上发现的几个严重的CSRF漏洞，攻击者利用这些漏洞不仅能够采集用户的电子邮件地址，侵犯用户隐私并操控用户帐户。实际上，如果金融站点出现了跨站请求伪造漏洞的话，这些漏洞甚至允许攻击者从用户的银行帐户中划走资金。为了全面的防御CSRF攻击，建议对服务器端进行改造。此外，我们还会介绍服务器端解决方案应具备的特征，如果缺乏这些特性，就会导致CSRF保护措施不必要地妨碍典型的web浏览活动。除此之外，我们还将介绍一个客户端浏览器插件，有了该插件的保护，即使站点自身没有保护措施的情况下，用户也能免受某些类型的CSRF攻击的滋扰。跨站请求伪造是一种严重的Web漏洞，希望大家能提高对CSRF攻击的防范意识。