CSRF防范对策
1、什么是CSRF
我们再来重温下CSRF的定义:CSRF英文全称是:Cross Site Request Forgery,中文是:跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。
2、CSRF的主要防范对策
CSRF的主要防范对策有以下几点:
1、验证 HTTP Referer 字段。
2、在请求地址中添加token并验证。
3、在HTTP 头中自定义属性并验证。
4、AngularJS提供的CSRF方案。
CSRF防范对策
2、CSRF的主要防范对策
1、验证 HTTP Referer 字段
HTTP头中的Referer字段记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站,而如果黑客要对其实施 CSRF攻击,他一般只能在他自己的网站构造请求。因此,可以通过验证Referer值来防御CSRF 攻击。
CSRF防范对策
2、CSRF的主要防范对策
2、在请求地址中添加token并验证
CSRF 攻
2022-06-19 12:01:32
615KB
CSRF防范辅助性对策
CSRF防范辅助性对策
1、CSRF主要防范对策
CSRF的主要防范对策有以下几点:
1、验证 HTTP Referer 字段。
2、在请求地址中添加token并验证。
3、在HTTP 头中自定义属性并验证。
4、AngularJS提供的CSRF方案.
2、CSRF的常见防范辅助性对策
1、增加验证码。
2、cookies设置sameSite。
3、客户端安装浏览器插件。
4、更换登录态方案。
CSRF防范辅助性对策
2、CSRF的主要防范对策
1、增加验证码
CSRF的一个特点是:伪造请求不经过网站A。那么我们可以通过增加网站A的验证手段,例如增加图形验证码或短信验证码等等,只有通过验证的请求才算合法。但是这种方案拥有两个局限性,一个是增加开发成本,另外一个是降低用户体验。
CSRF防范辅助性对策
2、CSRF的主要防范对策
2、cookies设置sameSite
对于CSRF的第二个特点:伪造请求的域名不是网站A。那么通过限制cookies不被其他域名网站使用,来达到防御的目的,具体的做法是:cookies设置sameSite属性的值为strict,这样只有
2022-06-19 12:00:55
754KB