CSRF令牌如何防止伪造请求？

1. CSRF攻击的基本原理与风险场景

跨站请求伪造（Cross-Site Request Forgery, CSRF）是一种利用用户在已认证状态下的会话发起非预期操作的攻击方式。当用户登录目标网站（如银行系统）后，攻击者诱导其访问恶意页面，该页面自动向目标站点提交请求（例如转账、修改密码），由于浏览器自动携带用户的Cookie，服务器误认为是合法请求。

典型攻击流程如下：

1. 用户登录银行A并保持会话（Cookie已存储）
2. 用户访问攻击者控制的恶意网站B
3. 网站B包含一个隐藏的表单或自动提交的请求，指向银行A的转账接口
4. 浏览器自动携带用户身份凭证（Cookie）发送请求
5. 银行A服务器处理请求，完成转账操作

此过程无需用户交互确认，即可完成敏感操作，构成严重安全威胁。

2. CSRF令牌的核心防御机制

CSRF令牌是一种服务端生成的随机字符串，绑定到用户会话中，并嵌入到每个需要防护的表单或AJAX请求头中。服务器在接收到请求时，必须验证该令牌的有效性。

3. 技术实现细节与代码示例

以下是一个典型的CSRF令牌生成与验证流程的伪代码实现：

import os
import secrets
from flask import session, request, abort

# 生成CSRF令牌
def generate_csrf_token():
    if 'csrf_token' not in session:
        session['csrf_token'] = secrets.token_hex(32)
    return session['csrf_token']

# 验证CSRF令牌
def validate_csrf_token():
    token = request.form.get('csrf_token') or \
            request.headers.get('X-CSRF-Token')
    if not token or token != session.get('csrf_token'):
        abort(403)  # Forbidden
  

在HTML模板中注入令牌：

<form method="POST" action="/transfer">
  <input type="hidden" name="csrf_token" value="{{ generate_csrf_token() }}" />
  <input type="text" name="amount" />
  <button type="submit">Transfer</button>
</form>
  

4. 同源策略的关键作用分析

CSRF防御之所以有效，关键在于浏览器的同源策略（Same-Origin Policy）。攻击者无法通过JavaScript读取目标站点响应内容，因此不能获取嵌入在页面中的CSRF令牌。

即使攻击者能诱导用户发起请求，也无法构造出包含正确令牌的请求体，因为：

• 无法通过AJAX跨域读取目标页面的CSRF令牌
• 无法预知服务端生成的随机值
• 表单提交需显式包含令牌字段

这使得伪造请求在缺乏有效令牌的情况下被服务端拒绝。

5. 常见漏洞模式与误配置案例

尽管CSRF令牌广泛使用，但以下常见问题仍会导致防护失效：

6. 高级防御策略与架构演进

现代Web应用结合多种机制增强CSRF防护：

• Synchronizer Token Pattern (STP)：传统方案，适用于服务端渲染
• Double Submit Cookie：将令牌同时写入Cookie和请求头，适合无状态API
• SameSite Cookie属性：设置SameSite=Strict/Lax限制第三方上下文发送Cookie

推荐组合使用：

Set-Cookie: XSRF-TOKEN=abc123...; Path=/; SameSite=Strict; Secure; HttpOnly=false

前端从Cookie读取并放入请求头：

axios.defaults.xsrfCookieName = 'XSRF-TOKEN';
axios.defaults.xsrfHeaderName = 'X-CSRF-Token';

7. 攻防流程可视化：CSRF攻击与防御对比

下图为CSRF攻击与防御机制的流程对比：