.jpg)
什么是csrf攻擊?
跨站點(diǎn)請(qǐng)求偽造,指攻擊者通過跨站請(qǐng)求,以合法的用戶的身份進(jìn)行非法操作。
(推薦教程:web服務(wù)器安全)
可以這么理解CSRF攻擊:攻擊者盜用你的身份,以你的名義向第三方網(wǎng)站發(fā)送惡意請(qǐng)求。CRSF能做的事情包括利用你的身份發(fā)郵件,發(fā)短信,進(jìn)行交易轉(zhuǎn)賬,甚至盜取賬號(hào)信息。
如何防范CSRF攻擊
1、安全框架,例如spring Security。Token機(jī)制。
2、在http請(qǐng)求中進(jìn)行token驗(yàn)證,如果請(qǐng)求中沒有token或者token內(nèi)容不正確,則認(rèn)為CSRF攻擊而拒絕該請(qǐng)求。
3、驗(yàn)證碼。通常情況下,驗(yàn)證碼能夠很好的遏制CSRF攻擊,但是很多情況下,出于用戶體驗(yàn)考慮,驗(yàn)證碼只能作為一種輔助手段,而不是最主要的解決方案。
4、referer識(shí)別。在HTTP Header中有一個(gè)字段Referer,它記錄了HTTP請(qǐng)求的來源地址。如果Referer是其他網(wǎng)站,就有可能是CSRF攻擊,則拒絕該請(qǐng)求。但是,服務(wù)器并非都能取到Referer。很多用戶出于隱私保護(hù)的考慮,限制了Referer的發(fā)送。在某些情況下,瀏覽器也不會(huì)發(fā)送Referer,例如https跳轉(zhuǎn)到HTTP。
? 版權(quán)聲明
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載。
THE END
.png)
