本文介绍了CSRF(跨站请求伪造)攻击的基本概念及其防御措施。主要包括:CSRF的工作原理,如何利用用户浏览器cookie实施攻击;防御手段如设置httpOnly属性、使用token验证、增加验证码等。
目录
CSRF简介
CSRF跨站点请求伪造(Cross—Site Request Forgery),也是常见的网络攻击方式之一,主要是会盗用客户浏览器cookie,伪造信息进行攻击,获取方式同XSS一样,而CSRF专门获取用户浏览器cookie,进行伪造访问。
CSRF防御方式
1、对重要的 cookie 设置 httpOnly,防止客户端通过document.cookie读取 cookie;
2、添加校验token,后端在返回前端的时候会生有一个token随机值,token随机值不保存在cookie中,当页面发送请求的时候附加随机token才能通过验证并执行请求
3、添加验证码、拖拽条
4、检查Referer字段,HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。通常来说,Referer字段应和请求的地址位于同一域名下。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
