CSRF与SSRF：Web安全漏洞攻防解析

原创已于 2026-04-23 13:51:38 修改 · 619 阅读

12 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #前端 #csrf

于 2026-04-22 13:30:28 首次发布

引言

在当今高度网络化的世界中，Web 应用安全已成为保护用户数据和系统完整性的关键环节。跨站请求伪造（CSRF）和服务器端请求伪造（SSRF）是两种常见且危险的 Web 安全漏洞，它们虽然名称相似，但攻击原理、影响范围和防御策略存在显著差异。本文将深入剖析这两种漏洞的技术原理、攻击方式，并提供全面、可落地的防御方案。

一、跨站请求伪造（CSRF）漏洞深度解析

1.1 CSRF 漏洞基本概念

跨站请求伪造（Cross-Site Request Forgery，CSRF）是一种恶意利用网站对用户浏览器信任关系的攻击方式。攻击者诱骗已认证用户在不知情的情况下，向目标网站发送非预期的请求，从而在用户权限下执行未授权的操作。

核心特征：

攻击发生在用户浏览器与受信任网站之间
利用用户的登录状态和身份权限
不直接窃取数据，而是滥用用户的权限执行操作
攻击完全在后台进行，用户可能毫无察觉

1.2 CSRF 攻击原理与技术实现

攻击条件与前提

用户已登录目标网站，会话凭证（Cookie、Token等）有效
网站依赖Cookie等自动发送的凭证进行身份验证
目标操作没有足够的二次验证或反伪造机制
攻击者能够预测或构造请求参数

攻击流程分析

攻击者构造恶意页面 → 诱使用户访问 → 浏览器自动携带Cookie发起请求 → 服务器执行操作

典型攻击场景示例

场景一：银行转账攻击

<!-- 恶意网页中的隐藏表单 -->
<form id="transferForm" action="https://bank.com/transfer" method="POST">
  <input type="hidden" name="toAccount" value="attacker_account">
  <input type="hidden" name="amount" value="10000">
</form>
<script>
  document.getElementById('transferForm').submit();
</script>

场景二：GET请求利用

<!-- 通过图片标签发起GET请求 -->
<img src="https://social.com/delete_post?id=12345" width="0" height="0">

场景三：JSON CSRF攻击（现代Web应用）

// 绕过CORS限制的复杂CSRF
fetch('https://api.example.com/update_profile', {
  method: 'POST',
  headers: {
    'Content-Type': 'text/plain'
  },
  body: JSON.stringify({"email":"attacker@evil.com"}),
  credentials: 'include'  // 自动携带Cookie
});

1.3 CSRF 攻击的危害评估

账户劫持：修改账户信息、绑定邮箱/手机
资金损失：转账、支付、虚拟货币操作
数据破坏：删除、修改重要数据
权限提升：修改权限、添加管理员
业务逻辑滥用：批量操作、滥用功能

二、服务器端请求伪造（SSRF）漏洞深度解析

2.1 SSRF 漏洞基本概念

服务器端请求伪造（Server-Side Request Forgery，SSRF）是一种攻击者能够从受攻击服务器发起任意网络请求的安全漏洞。与CSRF不同，SSRF的请求发起方是服务器本身，这使得攻击者能够访问服务器网络内的内部资源，甚至绕过防火墙限制。

核心特征：

攻击从受信任的服务器发起
能够穿透网络边界，访问内部系统
可用于端口扫描、服务枚举、内部网络攻击
常与其他漏洞结合形成链式攻击

2.2 SSRF 攻击原理与技术实现

漏洞产生原因

用户输入控制请求目标：URL参数未充分验证
服务器权限过高：应用服务器拥有内网访问权限
协议处理不当：支持多种协议（file、gopher、dict等）
响应处理不完善：将远程资源内容返回给用户

攻击类型分类

基础SSRF：读取服务器本地文件

https://vulnerable.com/fetch?url=file:///etc/passwd

端口扫描：探测内网服务

https://vulnerable.com/fetch?url=http://127.0.0.1:22
https://vulnerable.com/fetch?url=http://192.168.1.1:3306

内部服务攻击：访问内部管理界面

https://vulnerable.com/fetch?url=http://192.168.1.1/admin

协议滥用：利用特殊协议扩大攻击面

# 利用dict协议获取Redis信息
https://vulnerable.com/fetch?url=dict://127.0.0.1:6379/info

# 利用gopher协议发起复杂请求
https://vulnerable.com/fetch?url=gopher://127.0.0.1:6379/_*1%0d%0a$8%0d%0aflushall%0d%0a

云元数据服务攻击：获取云服务凭据

# AWS元数据
https://vulnerable.com/fetch?url=http://169.254.169.254/latest/meta-data/

# 阿里云元数据
https://vulnerable.com/fetch?url=http://100.100.100.200/latest/meta-data/

# Google Cloud元数据
https://vulnerable.com/fetch?url=http://metadata.google.internal/computeMetadata/v1/

2.3 高级SSRF攻击技术

绕过技巧

IPv6格式绕过：[::1]、[::]
十进制IP编码：2130706433→ 127.0.0.1
八进制IP编码：0177.0.0.1→ 127.0.0.1
十六进制IP编码：0x7f.0x0.0x0.0x1
DNS重绑定攻击：利用DNS TTL为0的记录
URL解析差异利用：http://foo@127.0.0.1
302重定向跳转：通过可控制的第三方网站跳转

危害链攻击

SSRF + Redis未授权访问 → 写Webshell
SSRF + 内部系统漏洞 → 横向移动
SSRF + XXE → 读取本地文件
SSRF + 云服务权限 → 控制云资源

三、CSRF漏洞防御方案

3.1 基础防御措施

1. 同步令牌模式（Synchronizer Token Pattern）

// Java Spring示例
@PostMapping("/transfer")
public String transfer(@RequestParam String amount, 
                      @RequestParam String toAccount,
                      @RequestParam("_csrf") String csrfToken) {
    
    // 验证CSRF令牌
    if (!csrfToken.equals(session.getAttribute("csrf_token"))) {
        throw new InvalidCsrfTokenException();
    }
    
    // 执行业务逻辑
    return processTransfer(amount, toAccount);
}

2. 双重Cookie验证

// 前端设置
const csrfToken = getCookie('csrf_token');
fetch('/api/transfer', {
    method: 'POST',
    headers: {
        'Content-Type': 'application/json',
        'X-CSRF-Token': csrfToken
    },
    credentials: 'include',
    body: JSON.stringify(data)
});

3.2 SameSite Cookie属性

Set-Cookie: sessionid=xxxx; HttpOnly; Secure; SameSite=Strict

SameSite=Strict：完全禁止第三方Cookie
SameSite=Lax：允许安全的顶级导航携带Cookie
SameSite=None：允许所有第三方Cookie（需配合Secure）

3.3 自定义请求头验证

// 添加自定义请求头
const headers = new Headers({
    'X-Requested-With': 'XMLHttpRequest',
    'X-CSRF-Token': token
});

// 服务器端验证
if (request.headers['x-requested-with'] !== 'XMLHttpRequest') {
    return response.status(403).send('Invalid request');
}

3.4 验证码机制

对于高风险操作（转账、改密、提现），强制要求用户输入验证码。

3.5 Referer/Origin检查

# Python Flask示例
@app.before_request
def check_csrf():
    referer = request.headers.get('Referer')
    origin = request.headers.get('Origin')
    
    if request.endpoint in CSRF_PROTECTED_ENDPOINTS:
        if not referer or not referer.startswith('https://example.com'):
            abort(403, 'Invalid referer')
        
        if request.method == 'POST':
            if not origin or origin != 'https://example.com':
                abort(403, 'Invalid origin')

3.6 框架级防护

Spring Security：默认启用CSRF保护
Django：内置CSRF中间件
Express.js：csurf中间件
Rails：自动包含CSRF令牌

四、SSRF漏洞防御方案

4.1 输入验证与过滤

1. 严格的白名单验证

def validate_https://blog.csdn.net/url(url):
    """严格的URL白名单验证"""
    
    # 解析URL
    parsed = urlparse(url)
    hostname = parsed.hostname
    
    # 定义允许的域名白名单
    ALLOWED_DOMAINS = {
        'cdn.example.com',
        'api.trusted-service.com',
        'static.assets.com'
    }
    
    # 验证协议
    if parsed.scheme not in ['http', 'https']:
        raise ValueError('只允许HTTP/HTTPS协议')
    
    # 验证域名
    if hostname not in ALLOWED_DOMAINS:
        raise ValueError('域名不在白名单中')
    
    # 验证端口
    if parsed.port and parsed.port not in [80, 443, 8080]:
        raise ValueError('端口不在允许范围内')
    
    return True

2. IP地址黑名单

def is_blocked_ip(ip):
    """检查是否为内网或保留IP"""
    
    blocked_ranges = [
        '127.0.0.0/8',      # 环回地址
        '10.0.0.0/8',       # 内网A类
        '172.16.0.0/12',    # 内网B类
        '192.168.0.0/16',   # 内网C类
        '0.0.0.0/8',        # 本网络
        '169.254.0.0/16',   # 链路本地
        '192.0.2.0/24',     # 测试网络
        '224.0.0.0/4',      # 组播地址
        '240.0.0.0/4',      # 保留地址
    ]
    
    ip_obj = ipaddress.ip_address(ip)
    
    for network in blocked_ranges:
        if ip_obj in ipaddress.ip_network(network):
            return True
    
    # 云元数据服务IP
    if ip in ['169.254.169.254', '100.100.100.200']:
        return True
    
    return False

4.2 网络层防护

1. 使用代理服务器

# Nginx配置，限制可访问的目标
location /fetch {
    proxy_pass http://upstream;
    
    # 只允许访问特定目标
    proxy_pass_request_headers off;
    proxy_set_header Host "allowed-domain.com";
    
    # 限制超时时间
    proxy_connect_timeout 5s;
    proxy_read_timeout 10s;
    
    # 限制响应大小
    proxy_buffer_size 4k;
    proxy_buffers 4 4k;
}

2. 出站流量防火墙规则

# 只允许访问特定外部服务
iptables -A OUTPUT -p tcp -d 23.45.67.89 --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -d 34.56.78.90 --dport 80 -j ACCEPT
iptables -A OUTPUT -j DROP

4.3 应用层防护

1. 禁用危险协议

// Java禁用危险协议
public class SecureURLConnection {
    static {
        // 禁用file、gopher、jar等协议
        System.setProperty("jdk.http.auth.tunneling.disabledSchemes", "file,gopher,jar");
        System.setProperty("jdk.http.auth.proxying.disabledSchemes", "file,gopher,jar");
    }
}

2. 使用DNS解析策略

def safe_fetch(url):
    """安全获取远程资源"""
    
    # 先解析DNS
    hostname = urlparse(url).hostname
    ip_addresses = socket.getaddrinfo(hostname, None)
    
    for res in ip_addresses:
        ip = res[4][0]
        if is_blocked_ip(ip):
            raise SecurityError(f'IP地址被禁止: {ip}')
    
    # 限制重定向
    session = requests.Session()
    session.max_redirects = 2
    
    # 设置超时
    response = session.get(url, timeout=(3, 10))
    
    # 限制响应大小
    if len(response.content) > 10 * 1024 * 1024:  # 10MB
        raise SizeLimitExceededError()
    
    return response.content

4.4 架构级防护

1. 网络隔离

将外部请求服务部署在DMZ区域
内部服务使用专有网络，不暴露公网IP
实施网络分段，限制应用服务器访问范围

2. 使用专用请求服务

# 专用请求微服务示例
class SecureFetchService:
    def __init__(self):
        self.allowed_endpoints = [
            {
                'id': 'weather_api',
                'url': 'https://api.weather.com',
                'methods': ['GET'],
                'rate_limit': 100  # 每分钟请求数
            }
        ]
    
    async def fetch(self, endpoint_id, path, params=None):
        # 验证endpoint_id
        endpoint = self.get_endpoint(endpoint_id)
        
        # 构建完整URL
        full_url = f"{endpoint['url']}/{path.lstrip('/')}"
        
        # 执行请求
        async with aiohttp.ClientSession() as session:
            async with session.get(full_url, params=params, 
                                 timeout=aiohttp.ClientTimeout(total=5)) as response:
                return await response.text()

五、综合防御策略与实践

5.1 开发流程中的安全控制

1. 安全编码规范

所有用户输入视为不可信
对外部请求进行严格的输入验证
实施最小权限原则
记录所有外部请求日志

2. 代码审计与自动化扫描

# 安全扫描配置示例
security_scan:
  csrf:
    enabled: true
    check_endpoints: true
    verify_tokens: true
  
  ssrf:
    enabled: true
    scan_patterns:
      - "new URL\("
      - "HttpClient"
      - "fetch\("
      - "curl_exec"
    blocked_ips:
      - "127.0.0.1"
      - "169.254.169.254"

5.2 防御深度实践

1. 多层防御体系

第1层：输入验证（白名单 + 正则验证）
第2层：业务逻辑检查（操作确认 + 二次验证）
第3层：网络层防护（防火墙 + 代理）
第4层：应用层防护（权限控制 + 日志监控）
第5层：运行时防护（RASP + WAF）

2. 实时监控与告警

class SecurityMonitor:
    def __init__(self):
        self.request_log = []
        self.alert_thresholds = {
            'ssrf_attempt': 5,  # 5次/分钟
            'csrf_attempt': 10,  # 10次/分钟
        }
    
    def log_request(self, request_type, url, source_ip):
        """记录安全相关请求"""
        log_entry = {
            'timestamp': datetime.now(),
            'type': request_type,
            'url': url,
            'source_ip': source_ip
        }
        
        self.request_log.append(log_entry)
        
        # 检查异常模式
        self.check_anomalies()
    
    def check_anomalies(self):
        """检测异常请求模式"""
        recent_ssrf = [r for r in self.request_log[-100:] 
                      if r['type'] == 'ssrf_attempt']
        
        if len(recent_ssrf) > self.alert_thresholds['ssrf_attempt']:
            self.send_alert('Possible SSRF attack detected')

六、CSRF与SSRF对比总结

特征维度	CSRF	SSRF
攻击目标	用户浏览器	应用服务器
利用方式	利用用户身份	利用服务器网络权限
影响范围	用户权限内的操作	服务器可访问的所有资源
攻击发起	从用户浏览器发起	从受攻击服务器发起
主要危害	执行未授权操作	访问内部网络、读取文件
防御重点	请求来源验证、令牌机制	输入验证、网络隔离、协议限制
检测难度	相对容易（有明确模式）	相对困难（变化多端）
修复成本	较低（代码级修复）	较高（可能需要架构调整）