CSRF

CSRF (Cross-site request forgery) 跨站请求伪造，伪造信任用户。

跨站请求伪造是通过混淆信任用户的方式，让用户无意间将信任参数授权出去。

攻击案例

以下仅举例，如有雷同纯属巧合。

小张和老王都在逛某个不可言喻的论坛网站，小张发现老王的签名图片非常的棒棒哟。

老王的签名图片实际上大有玄机。

1. 老王在自己服务器上编写了一段 form 表单指向银行查询账户余额，查询结果返回给自己
2. 同时在一张非常隐晦的论坛签名图片上绑定一个与自己服务器的连接（异步接口）

小张本身比较懒惰，平时喜欢保存 Cookie 在浏览器上，懒得输入账号密码登录。

小张点了老王那张隐晦的嘿嘿嘿论坛签名图片后，在不知不觉中已经向老王的服务器发了一个异步请求。

老王拿到了 Cookie，老王利用 Cookie 向银行查询小张的余额。

由于该 Cookie 确实是小张的，银行认为是受信任的，正常进行了信息的返回。

于是，老王知道了小张的银行余额，一看，四块二毛八...呸！

在此过程中，老王没有获取到小张的登录账号密码（也不需要），老王的服务器类似一个中转，能够拿到想要的隐私信息。

至于具体如何实施，这部分内容写在刑法内，大家明白这个道理即可。

所以，我们不能乱点链接。

防御方案

常见三种防御手段，本文主要讲述第二种。

1. 验证 HTTP Referer 字段，HTTP 头中有一个字段叫 Referer，它记录了该 HTTP 请求的来源地址，比如我们禁止跨站访问。
2. 站内URL全部携带Token服务端进行验证
3. 在HTTP头中自定义属性并验证（通过XMLHttpRequest，局限性大，仅适用于ajax请求）

Token实现

用户登录（鉴权）成功后，我们将一个随机生成的变量放到 session 中。

Token生成

//鉴权Action中的代码
//生成一段随机字符串，这个很简单，就不详解了
String token = MyStringUtils.getToken();
//放到session中
ServletActionContext.getRequest().getSession().setAttribute("token", token);

界面获取

本节以 JSP 举例。

<script>
//利用JSP内置的能力，${}直接获取Attribute
//直接取用
var url = "<%=request.getContextPath()%>/viewUsers.action?connToken=${token}";
var token = ${token};//该语句需要定义在JSP文件中
//在JS文件中取用token
url = "<%=request.getContextPath()%>/viewUsers.action?connToken="+token;
</script>

拦截器、过滤器

过滤器和拦截器都可以实现token检查，为了区分前后太请求，习惯性分开。

filter过滤器：检查常规Get请求，访问JSP/前端页面资源请求等。

interceptor拦截器：检查Post向后台发起的请求，主要与Action层通信过程。

个人觉得用过滤器更为准确，拦截器的辐射范围有些局限了。

//服务端token
String serverToken = (String)httpRequest.getSession().getAttribute("token");
//客户端token
String clientToken = httpRequest.getParameter("connToken");
//检查token，服务端和请求都有token且一致方可放行
if ((null != clientToken)&&(null != serverToken) && 
                (serverToken.length() > 0) && (clientToken.length() > 0) && 
                    (clientToken.equals(serverToken)))
{
    //放行
}

感谢您的阅读。