CSRF 跨站請求偽造與防禦

請說明 CSRF 攻擊原理及防禦方式。

攻擊原理

攻擊者誘導已登入用戶訪問惡意頁面，該頁面自動向目標網站發送請求，利用用戶的 Cookie 執行未授權操作。

防禦方式

1. CSRF Token

服務器在表單中嵌入隨機 Token，提交時驗證。攻擊者無法取得正確 Token。

2. SameSite Cookie 屬性

設置 SameSite=Strict 或 SameSite=Lax，瀏覽器只在同站請求時攜帶 Cookie。

3. 驗證 Origin/Referer Header

服務器檢查請求的 Origin 是否來自允許的域名。

4. Custom Request Headers

API 要求自訂 Header（如 X-Requested-With），跨站請求無法設置此 Header。

與 CORS 的關係

正確設定 CORS 不等於防止 CSRF，需要配合上述防禦措施。