Web安全之CSRF

CSRF: Cross Site Request Forgy 跨站请求伪造
第三方网站在用户不知情的情况下，诱导用户点击，或利用用户登陆凭证（Cookie）伪造请求。

CSRF.png

1.危害

用户不知情的情况下，获取用户敏感信息，利用用户账号发帖，盗取资金（转账、消费）等

2.防御

1）禁止第三方网站带Cookie

在Cookie中设置sameSite属性（只有Chrome支持）

2）提交前加一个图形验证码

Node库ccap可以自动生成图形验证码
每次get的时候后端保留验证码text，并返回图形验证码
每次post的时候校验用户提交的验证码

3）请求中加一个CSRF token

Node库csurf
创建一个中间件，中间件加入req.csrfToken()函数，可以生成CSRF token，并将token加入到Cookie和request header（或form表单）中。
对比两个token一致才能通过。

4）验证referer，禁止来自第三方网站的请求