什么是跨站跟踪

跨站跟踪，又称为“跨站点请求伪造”（CSRF），是一种网络攻击方法。这种攻击是通过欺骗目标用户登录某个网站，利用该用户的身份来完成攻击目标的犯罪行为。本文将从什么是跨站跟踪、原理、攻击过程、如何防范以及现实应用等方面进行详细探讨。

一、什么是跨站跟踪？

跨站跟踪是一种网络攻击，指攻击者构造恶意请求，让受害人在不知情的情况下会话透露给攻击者，从而达到攻破目标网站的目的。例如，如果受害者在浏览器中连接到已经被黑客操纵的网站，并且已经登录了受害者的账户，那么黑客就能够通过一些技术手段将冒充的请求发送到目标网站，以达到恶意目的。

二、原理

跨站跟踪基于受害者的身份进行攻击。恶意用户利用目标站点的漏洞和误解，向该站点发送诸如盗用信息、进行恶意操作等请求。攻击者通常使用已经存储在受害者浏览器中的会话标识来构造这种含有恶意目的的请求。当然，从黑客角度来看，跨站点请求伪造本质上是通过欺骗用户来实现的。

三、攻击过程

攻击步骤如下：

1. 用户登录站点A，并在登录系统中保持会话

2. 恶意用户直接或通过欺骗方式，获取受害者的登录状态

3. 受害者在其登录系统有效期内访问站点B

4. 恶性请求向网站B发送信息，包括预先编写恶意代码的链接和站点A的会话信息

5. 用户的基本信息和目标站点的会话数据不以用户的意愿出现在恶意请求中，使站点B误解完全信任用户并允许攻击者的请求.

四、如何防范？

跨站点请求伪造攻击对很多站点来说是一大威胁，添加安全防御措施可以有效保护用户的隐私和系统的安全。下面我们来谈谈如何防范这种攻击。

1. 给所有的请求添加请求的来源站点信息，例如HTTP REFERER头。

2. 合理地利用cookie来防范攻击。如，使用临时cookie，将其限制在每个浏览器会话中，确保cookie的过期日期是一个很短的时间。

3. 避免区分大小写的cookie。严格保持cookie中大小写的一致性，不能依靠系统自带的大小写转换功能。

4. 充分考虑用户的身份，在用户登入系统之前，先转到账户中心等测试骨架，赋予专用cookie权限，并且每次操作时都进行cookie校验。

五、现实应用

在实际应用中，通过以下几种方法可以防范跨站点请求伪造攻击。

1. 用HTTPS加密连接，好处更多的是它可以检测到中间人。在加密连接下，攻击者无法捕获受害者的信息，更不能再次建立会话，并将其用于发起跨站点请求伪造攻击。

2. 要求用户输入确认信息。无论用户在进行什么敏感操作时，都需要输入确认码或确认信息，例如用户密码、验证码等。

3. 在系统日志中记录所有的交互，包括敏感操作。这些日志可以用于某些外界调查或是后续的操作审查，也可以作为网站管理人员定期查看交互模式的手段。