CSRF攻击
主要攻击对象是Cookie中保有用户状态的情况,如用Cookie保存SessionID或JWT
这样在另一个网站中嵌入被攻击网站的url,就可以在用户不知情的情况下代替该用户向被攻击网站发送请求。
原因
浏览器在发送请求时,会自动发送Cookie
防御方法
方法1: 客户端在每次http请求时,附带与服务端约定好的其他参数,可以放在header里,因为浏览器不会自动做这个操作,所以就防止了CSRF攻击。简单来说就是服务端在校验请求时,不单纯基于Cookie,还要基于一个Cookie外的附加信息。
方法2: 【不建议使用】不在Cookie中保存用户状态,比如将JWT保存在客户端内存或LocalStorage里。因为没有使用Cookie,所以自然就不会有CSRF的问题,但这个会带来新的问题——XSS攻击。因为不在Cookie中的话,如果代码被侵入会非常容易取得用户状态。而利用Cookie的 HttpOnly可以有效的保护Cookie。
XSS
利用在被攻击网站侵入的脚本,获得想要得到的内容,发给黑客网站并保存。
如获取当前用户的Cookie信息,就可以冒充该用户向服务器发送请求。
原因
被攻击网站有缺口可以执行嵌入的代码
防御方法
首先应该保证前端代码的健壮性,不会执行嵌入的代码。
但这个不是这里想讨论的重点,这里主要是想保护Cookie或者说是用户状态,所以防御的方法是上文已经提到的设置Cookie为HttpOnly。
这个属性是可以对每个Cookie的属性分别设置的,所以只要把SessionID或者JWT这种敏感的信息设置成HttpOnly就可以了。
补充说明
以上两点,都属于在客户端进行攻击,保证了以上两点,并不代表网站就安全了,因为除了在客户端攻击以外,还可以在网络上监听报文。抓取到了报文后,一样可以冒充用户发送请求。
所以,为了报文的安全,要采用Https进行通信。
这样JWT或者SessionID就不会被截获了。
顺便说个概念:
加密方式分为信道加密和内容加密。
Https属于信道加密。类似密码的加密或者JWT里面对某些内容的加密,属于内容加密。
