前言# {#前言}

相信很多安全从业者入门时都跟我一样。我们接触了同一个CSRF的DEMO，同样也是维基百科中提到的。即为：

假如一家银行用以执行转账操作的URL地址如下： https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

那么，一个恶意攻击者可以在另一个网站上放置如下代码： <img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />

如果有账户名为Alice的用户访问了恶意站点，而她之前刚访问过银行不久，登录信息尚未过期，那么她就会损失1000资金。

这种恶意的网址可以有很多种形式，藏身于网页中的许多地方。此外，攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛，博客等任何用户生成内容的网站中。这意味着如果服务端没有合适的防御措施的话，用户即使访问熟悉的可信网站也有受攻击的危险。

透过例子能够看出，攻击者并不能通过CSRF攻击来直接获取用户的账户控制权，也不能直接窃取用户的任何信息。他们能做到的，是欺骗用户的浏览器，让其以用户的名义执行操作。

测试# {#测试}

我们像demo中那样，还原出两个网站来。

1. 另一个网站

   http://hackindex.com/index.html

   <html>
   <img src="http://test.bank.net/cookie.php">
   </html>
   

2. 受攻击的网站

   http://test.bank.net/cookie.php

   <?php
   setcookie("user", "admin");
   var_dump($_COOKIE);
   ?>
   

访问两次我们的受攻击网站，以确保请求时携带Cookie

接下来访问 另一个网站

发现在此页面请求去请求 http://test.bank.net/cookie.php 是没有携带Cookie的。并且设置Cookie标头后面也有一个叹号。

可以很轻易的看出CSRF攻击被限制了。此处测试浏览器为 Chrome/94.0.4606.61。

思考# {#思考}

正当我要得出结论："这种基础的CSRF已经被现代浏览器给屏蔽了"之前，又使用Firefox/93.0进行了测试，却发现可以正常使用原页面内下发的Cookie ，从而完成CSRF攻击。所以出现这种情况的原因是这两种浏览器对待第三方Cookie的策略不同。

• Chrome: 除非被攻击站点的Cookie字段设置了SameSite=None;Secure，才可使攻击有效。
• FireFox: 使用了disconnect.me提供的抗追踪列表，只有黑名单中的具有明显追踪行为的域名，才不会使用第三方Cookie。列表可见：https://github.com/disconnectme/disconnect-tracking-protection/blob/master/services.json

结束# {#结束}

1. Chrome、FireFox中进行的测试均在未指定特定的第三方Cookie规则策略下进行，两款浏览器均可根据需要调整相关策略为更严格或宽松
2. 可能我们在尝试CSRF时候还要考虑攻击对象的浏览器？