Web安全测试之跨站请求伪造（CSRF）篇

核心提示： 页面中有许多标签会导致自动发出HTTP请求（img标签便是其中之一）；浏览器无法断定img标签所引用的资源到底是不是图像以及是否是有害的；当加载图像时，根本就不考虑所涉及的图像所在的位置，Web安全测试之跨站请求伪造（CSRF）篇(4)，即表单和图像不必位于同一个主机上，甚至可以不再同一个

页面中有许多标签会导致自动发出HTTP请求（img标签便是其中之一）；

浏览器无法断定img标签所引用的资源到底是不是图像以及是否是有害的；

当加载图像时，根本就不考虑所涉及的图像所在的位置，即表单和图像不必位于同一个主机上，甚至可以不再同一个域内。虽然这是一个非常便利的特性，但是却给应用程序的隔离制造的障碍。正是由于与Web 应用程序无关的HTML内容可以引用应用程序中的各种组件，以及浏览器可以自动为该应用程序构造一个有效的请求这两个事实才导致了这种攻击的出现。这意味着，正确的URL必须包含用户会话有关的信息，而攻击者却无法得知这些信息，因此不可能识别这样的URL。

对于集成了邮件/浏览器功能的工作平台，跨站请求伪造问题可能更为严重，因为，仅仅显示一封包含该图像的电子邮件就会导致请求及有关浏览器cookie一起向Web应用程序发去。

另外，攻击者还可以对这些东西进行伪装，例如引用貌似合法的图像URLs，例如

(img src=http://tech.ddvip.com/2008-11/”https://[attacker]/picture.gif” width=”0” height=”0”)
用时将()换成<>

这里，[attacker]是攻击者控制下的站点，并通过重定向机制将http://[attacker ]/picture. gif转向http://[thirdparty ]/action。

如果Web应用程序的会话信息完全靠浏览器来提供的话，那么这样的Web应用程序也都易于受到攻击，其中包括那些仅依赖于HTTP身份验证机制的那些应用程序，因为浏览器知道这些验证信息，并会在发送每个请求的时候自动附带这些验证信息。当然，这不包括基于表单的认证，它只发出一次，并且生成了有关会话信息的表单——当然，如果这样的信息就像cookie那样进行简单的传递的话，这就有回到了之前的情形。