CSRF - 空Referer绕过

在实际环境中，服务器很多CGI由于一些历史原因，必须允许空Referer的请求。比如：老的客户端版本请求的时候就没有Referer，总不能在服务端一刀切，让老版本的用户都无法正常使用了吧。

这样的CGI就存在CSRF攻击的风险。那么我们该如何在真实环境中构造一个可利用的POC呢？

我们知道正常的页面跳转，浏览器都会自动带上Referer，那么现在的问题就变成了什么情况下浏览器会不带Referer？通过一些资料，可以大致总结为两种情况：

1.通过地址栏，手动输入；从书签里面选择；通过实现设定好的手势。上面说的这三种都是用户自己去操作，因此不算CSRF。

2.跨协议间提交请求。常见的协议：ftp://,http://,https://,file://,javascript:,data:.最简单的情况就是我们在本地打开一个HTML页面，这个时候浏览器地址栏是file://开头的，如果这个HTML页面向任何http站点提交请求的话，这些请求的Referer都是空的。那么我们接下来可以利用data:协议来构造一个自动提交的CSRF攻击。当然这个协议是IE不支持的，我们可以换用javascript:

假如http://a.b.com/d 这个接口存在空Referer绕过的CSRF，那么我们的POC可以是这样的：