[PHP知识库]跨站脚本攻击和跨站请求伪造

XSS攻击

XSS, 即为（Cross Site Scripting）, 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的，当渲染 DOM 树的过程成发生了不在预期内执行的 JS 代码时， 这个不在预期的JS代码是攻击者将恶意代码植入到提供给其它用户使用的页面中 ，就发生了 XSS 攻击。

跨站脚本攻击有可能造成以下影响。
利用虚假输入表单骗取用户个人信息。
利用脚本窃取用户的 Cookie 值，被害者在不知情的情况下，
帮助攻击者发送恶意请求。
显示伪造的文章或图片。

反射性XSS

反射型XSS只是简单的把用户输入的数据从服务器反射给用户浏览器，要利用这个漏洞，攻击者必须以某种方式诱导用户访问一个精心设计的URL（恶意链接），才能实施攻击。
攻击者构造出特殊的 URL，其中包含恶意代码
用户打开带有恶意代码的 URL 时，网站服务端将恶意代码从 URL 中取出，拼接在 HTML 中返回给浏览器
用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行
恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作

存储型XSS

存储型XSS漏洞的成因与反射型的根源类似，不同的是恶意代码会被保存在服务器中，导致其它用户（前端）和管理员（前后端）在访问资源时执行了恶意代码，用户访问服务器-跨站链接-返回跨站代码。
攻击者将恶意代码提交到目标网站的数据库中
用户打开目标网站时，网站服务端将恶意代码从数据库取出，拼接在 HTML 中返回给浏览器
用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行
恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作

基于DOM的XSS

攻击者构造出特殊的 URL，其中包含恶意代码
用户打开带有恶意代码的 URL
用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行
恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作

反射型 XSS 跟存储型 XSS 的区别是：存储型 XSS 的恶意代码存在数据库里，反射型 XSS 的恶意代码存在 URL 里。
DOM 型 XSS 跟前两种 XSS 的区别：DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞，而其他两种 XSS 都属于服务端的安全漏洞。

XSS攻击防范

设置 cookie 的 HttpOnly 属性，以禁止脚本访问到cookie
对用户的输入进行检查，进行特殊字符过滤。

CSRF攻击

CSRF 英文全称是 Cross-site request forgery，又称为“跨站请求伪造”。 顾名思义，CSRF 攻击就是黑客引诱用户打开黑客的网站，利用用户的登陆状态发起跨站请求。 降维解释：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。 利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证， 达到冒充用户对被攻击的网站执行某项操作的目的。

受害者登录a.com，并保留了登录凭证（Cookie）
攻击者引诱受害者访问了b.com
b.com 向 a.com 发送了一个请求：a.com/act=xx。浏览器会默认携带a.com的Cookie
a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求
a.com以受害者的名义执行了act=xx
攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让a.com执行了自己定义的操作

CSRF攻击实现

最容易实现的是 Get 请求，一般进入黑客网站后，可以通过设置 img的 src 属性来自动发起请求
在黑客的网站中，构造隐藏表单来自动发起 Post 请求
通过引诱链接诱惑用户点击触发请求，利用 a 标签的 href。
CSRF 攻击不需要将恶意代码注入用户的页面，仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。
CSRF 攻击成本也比 XSS 低，用户每天都要访问大量网页，无法确认每一个网页的合法性， 从用户角度来说，无法彻底防止 CSRF 攻击。

CSRF的特点

攻击一般发起在第三方网站，而不是被攻击的网站。被攻击的网站无法防止攻击发生
攻击利用受害者在被攻击网站的登录凭证，冒充受害者提交操作；而不是直接窃取数据
整个过程攻击者并不能获取到受害者的登录凭证，仅仅是“冒用”
跨站请求可以用各种方式：图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中，难以进行追踪

CSRF攻击的防范

根据CSRF攻击的特点，要成功攻击，必须满足几个条件。

1. 用户在被攻击的系统中登录了。
2. 用户在第三方系统触发了对被攻击系统的请求，而被攻击服务器无法识别此请求来源。

针对第一个条件，防范措施包括：

• 对重要的操作进行二次认证，防止操作在后台自动执行。
• 设置适当的会话超时时间，防止用户离开后，其他用户在同一个浏览器中操作。
• 养成良好的习惯，离席锁屏。

针对第二个条件，是我们从技术层面要重点防范的，可选的防范措施包括：

1. 语义一致性：良好的编程习惯，操作类请求，必须使用POST，GET只用于浏览类请求。
2. 阻止外域访问
   a. 同源检测：服务器端通过请求的Origin Header和Referer Header，判断请求的来源。
   b. Samesite Cookie：控制只有同域（子域）能访问Cookie。 完全禁止第三方Cookie，跨站点访问时，任何情况下都不会发送Cookie。
3. 随机数一致性检测
   a. CSRF Token：用户登录后，生成随机值csrf_token，用户提交的操作类（POST）请求中，提交的表单中携带csrf_token，服务器端判断csrf_token是否正确。
   b. 双重Cookie验证：Cookie中保存csrf_token，用户提交表单中也携带csrf_token，服务器端判断两个值是否一致。

上述几条防范措施，语义一致性是推荐措施，虽然它不能防范CSRF攻击，但是可以减少防范的范围，只对POST请求进行防范。剩下的四种防范方法中，CSRF Token是最成熟、使用最广泛的方法，建议采用。

XSS 与 CSRF 的区别

CSRF 攻击不需要将恶意代码注入用户的页面，仅仅是利用服务器的漏洞和用户的登录状态来实施攻击。
CSRF 攻击成本也比 XSS 低，用户每天都要访问大量网页，无法确认每一个网页的合法性， 从用户角度来说，无法彻底防止 CSRF 攻击。