CSRF（跨站请求伪造）概述
CSRF（Cross-Site Request Forgery），即跨站请求伪造，是一种攻击手段，攻击者利用受害者在网站上已认证的身份信息，诱使受害者发起未经授权的请求，从而对受害者账户执行不希望的操作。由于受害者的身份信息（如cookie）会自动随请求发送，攻击者可以借此执行一些恶意操作。
CSRF攻击原理

1.攻击者准备恶意请求：攻击者构造一个恶意的请求，例如修改密码、转账等，通常这个请求会嵌入到一个网站、邮件或网页广告等地方。该请求通常是向一个已经登录的用户所访问的站点发起的。
2.受害者访问恶意页面：受害者无意间访问了这个恶意页面，通常这个页面会包含恶意的链接、表单、图片等，可能通过 XSS 或社交工程学等方式诱使受害者点击或加载。
3.浏览器自动发送请求：当受害者访问该恶意页面时，浏览器会携带当前登录用户的认证信息（如cookie）自动发送请求。例如，如果用户已经登录了某个银行网站，恶意请求可能会是一个转账请求，浏览器会自动带上该银行网站的登录cookie。
4.恶意请求执行：由于请求看似是合法用户发起的，服务器无法识别请求的真正来源，最终执行了攻击者预设的操作。

CSRF的攻击场景

5.用户在登录状态下，点击攻击者精心设计的恶意链接。
6.恶意链接会以用户的名义向受害者已经登录的网站发起请求，执行一些危害性操作（如修改用户资料、转账、提交表单等）。

例如，假设攻击者希望在一个受害者的账户上转账，攻击者可以构造如下的恶意链接：
<img src="http://bank.com/transfer?amount=1000&toAccount=attackerAccount" />

当受害者访问此链接时，浏览器会自动发送请求，且该请求带有受害者的身份认证信息（如cookie），因此服务器会认为这是合法的请求并执行。
CSRF的预防措施
为了防止CSRF攻击，通常采取以下几种策略：
1. 使用Token防护（Anti-CSRF Token）

7.原理：每当用户发起请求时，服务器会在页面中插入一个随机的token，这个token是一个难以猜测的唯一标识符。每次用户发起请求时，都会将该token与请求一起发送，服务器根据token来验证请求是否合法。
8.实现方式：在表单中加入一个隐藏的字段，包含服务器生成的token，每次请求时客户端必须发送这个token。服务器验证请求中的token与当前会话中的token是否一致，如果不一致则拒绝请求。
例如，在HTML表单中插入一个隐藏的token字段：

   <form method="POST" action="/transfer">
       <input type="hidden" name="csrf_token" value="randomGeneratedToken">
       <input type="text" name="amount" value="1000">
       <input type="text" name="toAccount" value="1234567890">
       <input type="submit" value="Transfer">
   </form>

每次提交时，服务器会验证 csrf_token 是否与用户会话中的token一致。
2. 使用SameSite Cookie属性

9.原理：SameSite 是一个cookie属性，限制了浏览器在跨站请求时是否会携带cookie。它可以帮助防止CSRF攻击，因为浏览器在发起跨站请求时不会自动携带cookie，从而阻止了攻击者伪造请求。
10.实现方式：将cookie的SameSite属性设置为Strict或Lax，可以防止浏览器在跨站请求时自动附带cookie。
例如：

   Set-Cookie: session_id=abc123; SameSite=Strict; Secure; HttpOnly;

11.SameSite=Strict：完全阻止跨站请求发送cookie。
12.SameSite=Lax：允许一些类型的跨站请求（例如GET请求），但阻止复杂的跨站请求（例如POST请求）。

3. Referer Header检查

13.原理：通过检查请求头中的 Referer 或 Origin 字段，来确认请求是否来自合法的源站。合法的请求应该来自同一个域名。如果请求头中的Referer或Origin字段为空或者与期望的源站不匹配，则可以判定该请求为潜在的CSRF攻击。
14.实现方式：服务器可以根据请求的Referer和Origin字段来验证请求来源，拒绝不符合的请求。
例如，服务器检查 Referer：

   if (request.headers['referer'] !== 'https://example.com') {
       return res.status(403).send('Forbidden');
   }

4. 双重认证（Two-Factor Authentication）

15.原理：通过增加额外的身份验证步骤，例如要求用户输入验证码或手机短信验证码，在重要操作（如转账、密码更改等）时，进一步提高安全性，防止CSRF攻击。
16.实现方式：在敏感操作时，要求用户输入验证码、短信或其他第二种验证信息，以确认操作是由用户本人发起的。

5. 避免 GET 请求修改数据

17.原理：根据HTTP规范，GET请求应该是幂等的，不应该用于修改服务器状态。所有修改数据的操作应使用POST、PUT、PATCH等方法，而GET请求应该仅用于获取资源。
18.实现方式：确保所有可能导致数据修改的请求都使用POST方法，并且不依赖GET请求来提交表单或执行操作。

6. 用户行为确认

19.原理：某些情况下，可以通过要求用户再次确认他们的意图来避免恶意操作，例如，在重要操作（如转账、删除账户）时要求用户再次输入密码或通过其他方式确认。
20.实现方式：要求用户再次确认操作或提供额外的身份验证信息。

总结
CSRF是通过冒充合法用户发起恶意请求的攻击方式，主要依赖于受害者的浏览器自动携带身份认证信息（如cookie）发送请求。为了防止CSRF攻击，可以采用以下几种策略：

21.使用CSRF Token：为每个请求生成唯一的token，确保请求是合法用户发起的。
22.使用SameSite Cookies：通过限制cookie的发送范围，避免跨站请求伪造。
23.Referer/Origin头检查：通过检查请求的来源，确认请求是否来自合法的站点。
24.双重认证：增加额外的身份验证步骤，防止未授权操作。
25.避免GET请求修改数据：将所有可能修改服务器状态的请求限制为POST请求。
26.用户行为确认：通过额外的确认步骤确保操作是由用户本人发起的。

这些措施能够有效地防止CSRF攻击，保护用户数据安全。