什么是跨站請求偽造

CSRF(Cross-site request forgery跨站請求偽造，也被稱成為“one click attack”或者session riding，通常縮寫為CSRF或者XSRF，是一種對網站的惡意利用。攻擊者偽裝成來自受信任用戶的請求，用戶在瀏覽正常請求頁面的同時訪問該偽裝的受信任用戶請求，通過該方式實現CSRF攻擊。

跨站請求偽造攻擊原理

從上圖可以看出，要完成一次CSRF 攻擊，受害者必須依次完成兩個步驟：

1. 登錄受信任網站A，并在本地生成Cookie。

2. 在不登出A 的情況下，訪問危險網站B。

看到這里，你也許會說：“如果我不滿足以上兩個條件中的一個，我就不會受到CSRF 的攻擊”。是的，確實如此，但你不能保證以下情況不會發生：

1. 你不能保證你登錄了一個網站后，不再打開一個tab頁面并訪問另外的網站。

2. 你不能保證你關閉瀏覽器了后，你本地的Cookie立刻過期，你上次的會話已經結束(事實上，關閉瀏覽器不能結束一個會話，但大多數人都會錯誤的認為關閉瀏覽器就等于退出登錄/結束會話了)。

天清WAF全面防御CSRF攻擊

啟明星辰公司自主研發的天清Web應用安全網關系統，采用了專利技術的算法，對防御CSRF攻擊有顯著的效果。

天清Web應用安全網關系統主要采用了兩種方法進行防護：

1. 針對HTTP請求頭的referer來判斷訪問來源進行防護。通過refer方法進行CSRF攻擊防護是目前WAF廠商通用的防護方法，能防護大部分CSRF攻擊。

2. 防止referer本身被偽造，通過專有算法進行防護。啟明星辰WAF產品使用該算法能很好防御referer本身被偽造攻擊，彌補了只基于referer防護方法的不足。