CSRF不是浏览器安全问题吗？

Question

关于跨站点请求伪造 (CSRF) 攻击，如果 Cookie 是最常用的身份验证方法，那么为什么 Web 浏览器允许从另一个域生成的页面发送某个域（并向该域）的 Cookie？

通过禁止此类行为，在浏览器中是否可以轻松预防 CSRF？

据我所知，这种安全检查没有在网络浏览器中实现，但我不明白为什么。 我是不是搞错了什么？

关于 CSRF：

• 维基百科
• 关于编码恐怖

编辑：我认为在上述情况下不应在 http POST 上发送 cookie。 这就是令我惊讶的浏览器行为。

Answer 1

为什么浏览器不发送cookie？

站点 A (http://www.sitea.com) 为用户设置 cookie。

用户导航到站点 B (http://www.siteb.com)。 站点 B 具有与站点 A 集成的功能 - 单击此处在站点 A 上执行某些操作！ 用户点击“此处”。

据浏览器所知，用户正在有意识地决定向站点 A 发出请求，因此它以与处理向站点 A 的任何请求相同的方式处理该请求，其中包括将请求中的站点 A cookie 发送到站点 A.

---

编辑：我认为这里的主要问题是您认为身份验证 cookie 和其他 cookie 之间存在区别。 Cookie 可用于存储任何内容 - 用户首选项、您上次的高分或会话令牌。 浏览器不知道每个 cookie 的用途。 我希望我的 cookie 始终可供设置它们的网站使用，并且我希望该网站确保采取必要的预防措施。

或者您是说，如果您在 yahoo 中搜索“gmail”，然后单击链接到 http://mail .google.com，您不应该登录，即使您告诉 gmail 让您保持登录状态，因为您点击了其他网站的链接？

Answer 2

这并不是说浏览器将 cookie 发送到外部域或从外部域发送 cookie，而是事实上您已通过身份验证，并且该站点没有验证请求的来源，因此它会将其视为来自外部域的请求。地点。

至于浏览器是否应该禁止这种情况......在许多需要跨站点请求的情况下该怎么办？

编辑：需要明确的是，您的 cookie 不会跨域发送。

Answer 3

我不知道浏览器在这种情况下能做多少事情，因为 XSRF 攻击的目的是将浏览器引导到应用程序中会执行不良操作的另一个点。 不幸的是，浏览器不知道它发送的请求是否是恶意的。 例如，考虑到 XSRF 的经典示例：

<img src="http://domain.com/do_something_bad" />

浏览器无法明显看出正在发生什么不好的事情。 毕竟，如何知道那个和这个之间的区别：

<img src="http://domain.com/show_picture_if_authenticated" />

Answer 4

许多旧协议都存在很大的安全漏洞 - 回想一下最近发现的 DNS 漏洞< /a>. 就像基本上任何网络安全一样，这是端点的责任； 是的，我们必须自己修复这个问题，这很糟糕，但在浏览器级别修复要困难得多。 有一些明显的情况（ 看起来很可疑，对吧？），但总会有边缘情况。 （也许它毕竟是 PHP 文件中的 GD 脚本。） AJAX 查询怎么样？ 等等...

Answer 5

一个站点的 cookie 永远不会发送到另一个站点。 事实上，要实施成功的 CSRF 攻击，攻击者不需要访问这些 cookie。

基本上，攻击者会诱骗已登录目标网站的用户单击链接或加载图像，从而使用该用户的凭据在目标网站上执行某些操作。

即，用户正在执行该操作，而攻击者已欺骗用户这样做。

Answer 6

有些人说他们认为浏览器能做的事情不多。

请参阅：

http://people.mozilla。 org/~bsterne/content-security-policy/origin-header-proposal.html

这是关于新 HTTP 标头提案的概述，以帮助减轻 CSRF 攻击。

建议的标头名称是“Origin”，它基本上是“Referer”标头减去路径等。