请求伪造类的攻击原理是什么？

封面图 • 2025-09-21 • 互联网

请求伪造类的攻击（通常指的是**跨站请求伪造，Cross-Site Request Forgery，简称 CSRF）**是一种利用用户已认证的身份，在用户不知情的情况下，诱使用户执行非预期的操作的攻击方式。

---

### 一、攻击原理概述：

CSRF 攻击的核心是：**攻击者诱导受害者在已登录的网站上执行某些操作，而受害者并不知情。**

攻击者通过构造恶意请求（通常是 HTTP 请求），让受害者的浏览器在访问某个页面时自动发送该请求，从而达到攻击目的。

---

### 二、具体原理流程：

1. **用户登录目标网站**  
   用户在浏览器中登录了某个网站（例如银行、社交平台等），此时浏览器保存了 session 或 cookie。

2. **用户访问攻击者控制的网页**  
   攻击者诱导用户访问一个由其控制的网页（可能是邮件、论坛、图片链接等）。

3. **网页中包含恶意请求**  
   该网页中嵌入了一个指向目标网站的请求（如 `<img src="https://bank.com/transfer?amount=1000&to=attacker">`），或者通过 JavaScript 发起 POST 请求。

4. **浏览器自动携带 Cookie 发送请求**  
   浏览器会自动将与目标网站相关的 cookie（包括 session ID）附加到请求中，这样服务器会认为这是用户本人发起的请求。

5. **服务器执行操作**  
   服务器验证了 cookie 的有效性后，误以为这是用户自己发起的操作，从而执行了转账、修改密码等操作。

---

### 三、攻击示例（以银行转账为例）：

假设你正在银行网站上登录，然后访问了一个恶意网站，该网站中有如下代码：

```html
<img src="https://bank.com/transfer?account=attacker&amount=1000" />
```

当你访问这个页面时，浏览器会自动向银行网站发起 GET 请求，并附带你的 cookie，导致你账户中的资金被转走。

---

### 四、常见类型：

- **GET 请求伪造**：通过图片、链接等方式触发。
- **POST 请求伪造**：通过表单提交或 JavaScript 触发。
- **JSON API 跨域请求**：如果 API 没有做 CORS 验证，也可能被利用。

---

### 五、防御方法：

1. **使用 CSRF Token**  
   在表单中加入一次性令牌（token），服务器验证 token 是否有效。

2. **SameSite Cookie 属性**  
   设置 `SameSite=Strict` 或 `SameSite=Lax`，防止跨站请求携带 cookie。

3. **验证 Referer 头**  
   检查请求来源是否合法，防止来自其他网站的请求。

4. **双重提交 Cookie**  
   将 token 同时放在 cookie 和请求参数中，服务器比对两者是否一致。

5. **使用安全的 HTTP 方法**  
   对于敏感操作（如转账、删除等），使用 POST 而不是 GET。

---

### 六、总结：

> **CSRF 攻击的本质是“利用用户的信任”来执行非用户本意的操作。**  
> 它不依赖于 XSS（跨站脚本攻击），而是利用了 Web 应用对用户身份的验证机制。

如果你需要了解具体的防御实现或更深入的技术细节，可以继续提问！