什麼是CSRF?

CRSF (Cross Site Request Forgery 跨站請求偽造)是一種常見的攻擊手法，它會強迫使用者在他們已經驗證身分的網站中，執行某些惡意的偽造操作，因為已經驗證過該使用者，所以網站就會當作是原操作者。

我們大部分的網站都是cookie或session進行登入及驗證，這樣在使用者成功登入驗證後，之後的動作就不需要再重複驗證身分。CRSF就是利用這個機制的漏洞。

攻擊流程

A網站:攻擊目標網站，可能為某銀行
B網站:惡意網站

1. 使用者登入了A目標網站並且瀏覽器中包含識別身分的cookie在本地保存下來。
2. 在使用者未登出A網站的情況下，瀏覽了B惡意網站，同時B網站有個設為透明的圖片，該圖片包含一段惡意程式碼。
3. 瀏覽器自動向A網站發送請求，同時附帶B網站的cookie和auth token。由於這些憑證存在，A網站誤以為這是使用者發出的請求，從而執行攻擊者設計的操作，如轉帳給攻擊者的帳戶。

防範方法

1. 加上驗證
   在針對比較危險的操作，可以再增加一些驗證，像是圖形驗證碼、簡訊驗證碼等。

2. 檢查refer欄位
   確認需求的來源。http中有個referer欄位可以記錄請求從哪個網站發出。只要不是銀行網站發出的請求，網站一律不接受。

參考資料

https://medium.com/@Tommmmm/csrf-%E6%94%BB%E6%93%8A%E5%8E%9F%E7%90%86-d0f2a51810ca
https://www.explainthis.io/zh-hant/swe/what-is-csrf
https://gcdeng.com/blog/five-ways-to-defend-against-CSRF-attacks