security - 令牌和跨站点请求伪造

CSRF 是关于远程攻击者利用用户与网站的会话。

首先，一个蹩脚的例子。您与您的银行进行会话（登录）。登录后，攻击者让您访问他的恶意网站。在恶意网站上，您单击一个很棒的链接以查看您真正想要的东西。但是，恶意网站会将正确的数据发布到 URL 以将资金转移给攻击者。您不想这样做，而且您使用的网站似乎与您的银行无关。银行网站仍然收到您向攻击者汇款的请求。这是可行的，因为您已经与银行进行了会话，您的会话 ID 存储在 cookie 中，并且无论用户点击何处，cookie 都会根据目标 url 发送（见下文）。这是 csrf 的基本情况。

所以如果攻击者让你访问他的恶意网站，为什么他的javascript不能先下载银行页面，然后按照你的建议获取csrf令牌？

好吧，他为什么不能只看你的银行信息、帐号和余额？出于同样的原因，Web 浏览器的同源策略(SOP)。如果攻击者网站上的恶意 javascript 向银行 url 发出请求，则请求的来源与目的地不同。与通常的看法相反，请求仍然会发出，银行服务器会接收并处理它，然后发送响应。但是，您的浏览器将不允许调用 javascript 访问来自不同来源的响应（除非发送了 CORS 标头，但这有点不同，但相关主题）。

因此，他的恶意网站上的攻击者无法访问受害者用户从不同来源下载的页面，这可以防止您描述的攻击。攻击者当然可以继续自己下载银行页面，但 csrf 令牌在他自己与银行的会话中当然会有所不同。但他无法在受害者用户的会话中获取令牌。

换句话说，在页面中生成并在服务器上“记住”的 csrf 令牌允许服务器检查请求是否来自服务器实际生成的页面。由于 SOP，其他网站无法通过跨域请求访问此令牌。

请注意，上面关于无论请求来源如何都会发送 cookie 的声明并不一定是正确的。cookie 的新的 SameSite 属性允许对应该将哪些 cookie 发送到何处进行一些控制，并且该属性可以有效地缓解兼容浏览器中的 CSRF ，并具有一些 UX 影响。

另请注意，XSS 漏洞确实允许攻击者读取 CSRF 令牌 - 或页面中的任何其他数据。因此，XSS 通常被认为是比 csrf 更严重的缺陷。