乐闻世界logo
搜索文章和话题

如何通过验证 Referer 头来防护 CSRF 攻击,有哪些局限性?

2月19日 17:49

验证 Referer 头是防护 CSRF 攻击的一种传统方法,通过检查 HTTP 请求的 Referer 头来验证请求来源的合法性。

Referer 头的基本原理

Referer 头是 HTTP 请求头的一部分,它包含了发起请求的页面 URL。服务器可以通过检查 Referer 头来判断请求是否来自受信任的来源。

验证 Referer 头的实现

基本验证逻辑

javascript
function validateReferer(req, trustedDomains) {
    const referer = req.headers.referer;
    
    if (!referer) {
        return false; // 拒绝没有 Referer 的请求
    }
    
    try {
        const refererUrl = new URL(referer);
        const refererDomain = refererUrl.hostname;
        
        return trustedDomains.some(domain => 
            refererDomain === domain || refererDomain.endsWith('.' + domain)
        );
    } catch (error) {
        return false; // 无效的 URL
    }
}

// 使用示例
app.post('/api/transfer', (req, res) => {
    const trustedDomains = ['example.com', 'www.example.com'];
    
    if (!validateReferer(req, trustedDomains)) {
        return res.status(403).send('Invalid referer');
    }
    
    // 处理转账请求
});

验证策略

1. 严格匹配

  • Referer 必须完全匹配受信任的域名
  • 提供最强的安全性
  • 可能影响某些合法请求

2. 域名匹配

  • 允许子域名
  • 更灵活的验证
  • 需要确保所有子域名都是受信任的

3. 允许空 Referer

  • 某些情况下 Referer 可能为空(如直接输入 URL)
  • 需要结合其他验证方式
  • 降低安全性

Referer 头的局限性

1. 隐私设置

  • 某些浏览器或隐私插件可能阻止发送 Referer
  • 用户可以禁用 Referer 头
  • 导致合法请求被拒绝

2. 可伪造性

  • Referer 头可以被攻击者伪造
  • 不是绝对安全的防护方式
  • 需要配合其他防护措施

3. HTTPS 降级

  • 从 HTTPS 页面发起 HTTP 请求时,Referer 可能被移除
  • 混合内容场景下的处理复杂

4. 浏览器兼容性

  • 不同浏览器对 Referer 的处理可能不同
  • 某些移动浏览器的行为不一致

最佳实践

1. 多层防护

javascript
function csrfProtection(req, res, next) {
    // 验证 Referer
    if (!validateReferer(req, trustedDomains)) {
        return res.status(403).send('Invalid referer');
    }
    
    // 验证 CSRF Token
    if (req.body._csrf !== req.session.csrfToken) {
        return res.status(403).send('Invalid CSRF token');
    }
    
    next();
}

2. 配置 Referer-Policy

html
<meta name="referrer" content="strict-origin-when-cross-origin">

3. 白名单管理

  • 维护受信任的域名列表
  • 定期更新和审查
  • 支持动态配置

4. 日志记录

javascript
if (!validateReferer(req, trustedDomains)) {
    logger.warn('Invalid referer attempt', {
        referer: req.headers.referer,
        ip: req.ip,
        path: req.path
    });
    return res.status(403).send('Invalid referer');
}

适用场景

适合使用 Referer 验证的场景

  • 内部管理系统
  • API 接口保护
  • 作为辅助防护措施

不适合单独使用的场景

  • 公共网站
  • 对安全性要求极高的系统
  • 需要支持多种访问方式的场景

现代替代方案

随着 SameSite Cookie 和 CSRF Token 的普及,Referer 验证通常作为辅助防护手段使用,而不是主要的防护方式。

验证 Referer 头虽然有一定的局限性,但在正确的使用场景下,配合其他防护措施,仍然可以提供有效的 CSRF 防护。

标签:CSRF
热门标签
更多
Git(114)C语言(23)C++(15)前端(148)React(32)JavaScript(56)Linux(20)Rust(10)Docker(65)Cypress(4)TypeScript(23)Tailwind CSS(29)Vue(13)CSS(19)网络(12)MySQL(7)TypeORM(31)Next.js(30)