javascript - CSRF 基础知识与 SSL 和 CSRF 关系

Question

我正在尝试实现 CSRF 和 SSL(它们并不完全相关)并在下面列出我对该主题的理解，以证明理解。请随时纠正我的理解。
我们在几乎所有的安全应用程序中都看到了 CSRF token 。

跨站请求伪造 (CSRF) 的工作原理:

您登录到您的银行账户(例如 SBI 或 JPMC)并正在查看您的账户，或者它只是因为您很忙而在您的浏览器上打开。现在您收到一封电子邮件，可能是文本/图像或下一个选项卡上的任何内容。收到电子邮件时，onload 等其他 java 脚本函数可能会在您不知情的情况下从您的浏览器触发 GET/PUT/POST 请求。现在需要注意的是，CSRF 实际上无法从您的安全网页中读取任何内容，因为一旦您拥有适当的 SSL，安全页面就会被加密。而且 CSRF 也无法窃取您的凭据。事实上，它无法找到保存在安全网站隐藏标签内的 CSRF token ，因为它已加密。只有在您通过网站验证自己的身份后，它才会起作用，它会触发请求，从而欺骗服务器认为请求来自您刚刚登录的浏览器，从而使服务器按照收到的请求工作。

现在黑客试图开启 CSRF 攻击，它欺骗浏览器发送 url:

<img src="https://www.bankWebsite.com/transfer?amount=1000&amp;destination=8990">

因此，在您不知情的情况下，从一个由您验证的 session 中，一个请求被触发，告诉您将 1000 的金额转移到帐号 8990 n BOOM 中，您就这样被抢走了 1000 美元。

如何保护自己:
CSRF 保护可以通过几种方式完成:
1) 从 header 中验证请求的来源
2) 验证请求的目标
3) CSRF token

CSRF token 保护的工作原理:
CSRf token 存在于 header /cookie 中。因此，当黑客诱使浏览器向服务器发送请求时， token 仅出现在 header 中，而不出现在提交的表单中。因此，当服务器检查是否收到 CSRF token 时，它会尝试将 header 中的 CSRF token 与从表单/请求中收到的 CSRF token 进行匹配。如果它不存在/不匹配，那么服务器会识别它是一次攻击并阻止请求进一步渗透。

请大家指正我对CSRF攻击、保护的理解是否正确？
这是否意味着没有正确实现 SSL，CSRF 就没有用？

Answer 1

Request you all to please correct me if my understanding about the CSRF attack, protection is correct or not ?

是

Also does it mean without proper implementation of SSL, CSRF is of no use ?

如果您以纯文本形式向客户端发送 token (而不是使用 SSL 对其进行加密)，那么它可能会被攻击者拦截。

如果攻击者知道要在表单数据中放入什么标记，保护就会消失。