JavaScript本身不发起CSRF攻击,而是作为载体诱使浏览器发送带Cookie的恶意请求;防护必须由服务端实现,如CSRF Token、SameSite Cookie或双重Token机制。
JavaScript CSRF(跨站请求伪造)攻击不是通过 JavaScript 直接发起的“CSRF 攻击”,而是指攻击者利用用户已登录的合法身份,在用户不知情时,诱使其浏览器向目标网站发送恶意请求——这些请求由浏览器自动携带 Cookie(含 session 信息),而前端 JavaScript 本身通常无法读取或伪造其他域的 Cookie。真正的问题在于:前端 JS 发起的跨域请求(如 fetch 或 XMLHttpRequest)若未受控,可能被诱导执行非预期操作(例如提交表单、调用 API),尤其当后端缺乏有效防护时。
JavaScript 本身不“发起 CSRF”,但它常作为载体(比如嵌入恶意页面的脚本)触发浏览器发出带凭证的请求。关键点:
前端 JS 无法可靠获取或校验请求的真实来源:
document.referrer 可被禁用或伪造(如从本地文件打开、隐私模式、中间代理);Origin),也无法拦截自身发出的请求去检查 header;window.location.origin 并拼接请求?这只能约束“你写的代码”,无法防御别人仿写一个表单或 curl 请求。验证请求来源和意图,是后端的责任。常用且有效的方案:
立即学习“Java免费学习笔记(深入)”;
X-CSRF-Token)。服务端比对 session 中存储的 token 是否匹配且未使用过。SameSite=Strict 或 SameSite=Lax,可阻止浏览器在跨站请求中自动携带该 Cookie,大幅降低 CSRF 风险(注意兼容性,老版本浏览器不支持)。csrf_token),再将其作为 header(如 X-XSRF-Token)发送;服务端比对 header 中的值与 cookie 中的值是否一致(Angular 的默认机制)。注意:仅适用于 cookie 可被 JS 读取的场景,且需配合 HttpOnly=false —— 这会略微增加 XSS 风险,需确保 XSS 防护到位。Origin(优先)或 Referer,确认其属于白名单域名。这不是替代方案,因为 Origin 在某些请求中可能缺失(如 POST 表单跳转),且无法防御同域 XSS 引发的伪造。虽然验证主体在后端,前端仍需规范协作:
fetch 时显式设置 credentials: 'include'(默认是 same-origin),确保 Cookie 正常发送;eval、不渲染不可信 HTML/JS,严防 XSS —— 因为 XSS 可直接读取 token 或伪造请求,使 CSRF 防护失效。以上就是javascript CSRF攻击是什么_如何验证请求的来源?的详细内容,更多请关注php中文网其它相关文章!
java怎么学习?java怎么入门?java在哪学?java怎么学才快?不用担心,这里为大家提供了java速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
332
收藏
