JavaScript本身不发起CSRF攻击,而是作为载体诱使浏览器发送带Cookie的恶意请求;防护必须由服务端实现,如CSRF Token、SameSite Cookie或双重Token机制。
JavaScript CSRF(跨站请求伪造)攻击不是通过 JavaScript 直接发起的“CSRF 攻击”,而是指攻击者利用用户已登录的合法身份,在用户不知情时,诱使其浏览器向目标网站发送恶意请求——这些请求由浏览器自动携带 Cookie(含 session 信息),而前端 JavaScript 本身通常无法读取或伪造其他域的 Cookie。真正的问题在于:前端 JS 发起的跨域请求(如 fetch 或 XMLHttpRequest)若未受控,可能被诱导执行非预期操作(例如提交表单、调用 API),尤其当后端缺乏有效防护时。
CSRF 的本质是服务端信任了“来自用户浏览器的请求”,却未验证该请求是否由用户真实意愿触发
JavaScript 本身不“发起 CSRF”,但它常作为载体(比如嵌入恶意页面的脚本)触发浏览器发出带凭证的请求。关键点:
浏览器对同源请求自动携带 Cookie,JS 无需显式传 token; 跨域请求(如 POST 到 bank.com)若目标服务允许凭 Cookie 认证且无额外校验,就可能被滥用; 现代浏览器的 CORS 策略会阻止 JS 读取跨域响应,但不会阻止跨域请求发出(尤其是简单请求如 GET/POST + 普通 Content-Type)。
不能依赖 JavaScript 验证来源(Referer / Origin)
前端 JS 无法可靠获取或校验请求的真实来源:
document.referrer 可被禁用或伪造(如从本地文件打开、隐私模式、中间代理); JS 无法读取跨域响应头(如 Origin),也无法拦截自身发出的请求去检查 header; 试图在 JS 中判断 window.location.origin 并拼接请求?这只能约束“你写的代码”,无法防御别人仿写一个表单或 curl 请求。
真正的防护必须在服务端实现
验证请求来源和意图,是后端的责任。常用且有效的方案:
立即学习“Java免费学习笔记(深入)”;
CSRF Token(推荐):服务端为每个用户会话生成一次性或短期有效的随机 token,要求所有状态变更请求(POST/PUT/DELETE)必须携带该 token(通常放在 form hidden 字段或请求 header 如 X-CSRF-Token)。服务端比对 session 中存储的 token 是否匹配且未使用过。 SameSite Cookie 属性:设置关键 Cookie(如 sessionid)的 SameSite=Strict 或 SameSite=Lax,可阻止浏览器在跨站请求中自动携带该 Cookie,大幅降低 CSRF 风险(注意兼容性,老版本浏览器不支持)。 双重 Cookie/Token 模式(适合纯 API 场景):前端 JS 从 cookie 读取一个 token(csrf_token),再将其作为 header(如 X-XSRF-Token)发送;服务端比对 header 中的值与 cookie 中的值是否一致(Angular 的默认机制)。注意:仅适用于 cookie 可被 JS 读取的场景,且需配合 HttpOnly=false —— 这会略微增加 XSS 风险,需确保 XSS 防护到位。 校验 Origin / Referer 请求头(辅助手段):服务端检查 HTTP 请求头中的 Origin(优先)或 Referer,确认其属于白名单域名。这不是替代方案,因为 Origin 在某些请求中可能缺失(如 POST 表单跳转),且无法防御同域 XSS 引发的伪造。
前端能做的配合事项
虽然验证主体在后端,前端仍需规范协作:
敏感操作(如转账、改密码)前,主动向后端请求一次 fresh CSRF token,并在后续请求中正确携带; 使用 fetch 时显式设置 credentials: 'include'(默认是 same-origin),确保 Cookie 正常发送; 避免在 URL 中暴露敏感参数(GET 请求易被日志、代理、Referer 泄露); 不使用 eval、不渲染不可信 HTML/JS,严防 XSS —— 因为 XSS 可直接读取 token 或伪造请求,使 CSRF 防护失效。
以上就是javascript CSRF攻击是什么_如何验证请求的来源?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1543067.html
微信扫一扫 
支付宝扫一扫 
