CSRF
发布日期:2021-11-02 02:26:47
浏览次数:5
分类:技术文章
本文共 606 字,大约阅读时间需要 2 分钟。
CSRF
-
CSRF
全拼为Cross Site Request Forgery
,译为跨站请求伪造。 -
CSRF
指攻击者盗用了你的身份,以你的名义发送恶意请求。- 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…
CSRF的特点
- 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。
- 攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据。
- 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。
- 跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪。
CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。但是如果本域下有容易被利用的功能,比如可以发图和链接的论坛和评论区,攻击可以直接在本域下进行,而且这种攻击更加危险。
防护策略
CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。
上文中讲了CSRF的两个特点:
- CSRF(通常)发生在第三方域名。
- CSRF攻击者不能获取到Cookie等信息,只是使用。
针对这两点,我们可以专门制定防护策略,如下:
- 阻止不明外域的访问
- 同源检测
- Samesite Cookie
- 提交时要求附加本域才能获取的信息
CSRF Token
- 双重Cookie验证
转载地址:https://blog.csdn.net/weixin_43250623/article/details/90722253 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
很好
[***.229.124.182]2024年03月28日 05时28分33秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
c语言sin函数近似值,用泰勒公式求sin(x)的近似值
2019-04-21
c 语言登录系统源代码,c语言源代码---------------个人图书管理系统
2019-04-21
android线程通信方式,Android 主线程和子线程通信问题
2019-04-21
cps1 cps2 android,图文教程:CPS1和CPS2模拟器使用
2019-04-21
在线设计 html5 表单,html5注册表单制作-表单制作-小程序表单制作
2019-04-21
android小闹钟课程设计,《小闹钟》教学设计
2021-06-24
mysql文件系统_MySQL文件系统先睹为快(1)
2021-06-24
jquery后台内容管理_教育平台项目后台管理系统:课程内容模块
2021-06-24
grouping函数 mysql_sql聚合函数有哪些
2021-06-24
java文档生成_Java文档自动生成
2021-06-24
java 共享目录_java 操作windows 共享目录方法介绍
2021-06-24
java 监控 宕机_JAVA监测tomcat是否宕机,控制重启
2021-06-24
catch that cow java_POJ3278——Catch That Cow
2021-06-24
java integer 不变模式_Java代码的变与不变
2021-06-24
java guava 使用_Java8-Guava实战示例
2021-06-24