CSRF
发布日期:2021-11-02 02:26:47 浏览次数:5 分类:技术文章

本文共 606 字,大约阅读时间需要 2 分钟。

CSRF

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。

  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。

    • 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…

CSRF的特点

在这里插入图片描述

  • 攻击一般发起在第三方网站,而不是被攻击的网站。被攻击的网站无法防止攻击发生。
  • 攻击利用受害者在被攻击网站的登录凭证,冒充受害者提交操作;而不是直接窃取数据。
  • 整个过程攻击者并不能获取到受害者的登录凭证,仅仅是“冒用”。
  • 跨站请求可以用各种方式:图片URL、超链接、CORS、Form提交等等。部分请求方式可以直接嵌入在第三方论坛、文章中,难以进行追踪。

CSRF通常是跨域的,因为外域通常更容易被攻击者掌控。但是如果本域下有容易被利用的功能,比如可以发图和链接的论坛和评论区,攻击可以直接在本域下进行,而且这种攻击更加危险。

防护策略

CSRF通常从第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己网站针对CSRF的防护能力来提升安全性。

上文中讲了CSRF的两个特点:

  • CSRF(通常)发生在第三方域名。
  • CSRF攻击者不能获取到Cookie等信息,只是使用。

针对这两点,我们可以专门制定防护策略,如下:

  • 阻止不明外域的访问
    • 同源检测
    • Samesite Cookie
  • 提交时要求附加本域才能获取的信息
    • CSRF Token
    • 双重Cookie验证

转载地址:https://blog.csdn.net/weixin_43250623/article/details/90722253 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:Flask-SQLAlchemy
下一篇:ORM

发表评论

最新留言

很好
[***.229.124.182]2024年03月28日 05时28分33秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

推荐文章

c语言sin函数近似值,用泰勒公式求sin(x)的近似值 2019-04-21
c 语言登录系统源代码,c语言源代码---------------个人图书管理系统 2019-04-21
android线程通信方式,Android 主线程和子线程通信问题 2019-04-21
cps1 cps2 android,图文教程:CPS1和CPS2模拟器使用 2019-04-21
在线设计 html5 表单,html5注册表单制作-表单制作-小程序表单制作 2019-04-21
android小闹钟课程设计,《小闹钟》教学设计 2021-06-24
mysql文件系统_MySQL文件系统先睹为快(1) 2021-06-24
nums在python_程序找到一对(i,j),其中nums [i] + nums [j] +(i -j)在Python中最大化?... 2021-06-24
jquery后台内容管理_教育平台项目后台管理系统:课程内容模块 2021-06-24
grouping函数 mysql_sql聚合函数有哪些 2021-06-24
python os.walk如何不遍历隐藏文件_python 获取文件下所有文件或目录os.walk()的实例... 2021-06-24
python 股票估值_【中金固收·固收+】隐藏价值的角落:限售股AAP估值及Python实现方法(上)... 2021-06-24
java文档生成_Java文档自动生成 2021-06-24
java 共享目录_java 操作windows 共享目录方法介绍 2021-06-24
java 监控 宕机_JAVA监测tomcat是否宕机,控制重启 2021-06-24
catch that cow java_POJ3278——Catch That Cow 2021-06-24
java integer 不变模式_Java代码的变与不变 2021-06-24
java guava 使用_Java8-Guava实战示例 2021-06-24
python barrier option pricing_《Python金融数据分析》书内代码实战与讲解(二)金融衍生物定价... 2019-04-21
java自带工具_深入了解Java JDK自带工具,包括javac、jar、jstack等,实用~ 2019-04-21