WEB攻击手段及防御第3篇-CSRF
发布日期:2021-07-01 01:30:45
浏览次数:2
分类:技术文章
本文共 555 字,大约阅读时间需要 1 分钟。
转载自
概念
CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。
防御手段
既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。
防御的手段一般有:
1、检查referer
referer是http header的请求头属性,标识了请求的来源地址,通过检查这个属性可以判断请求地址是否合法域名。很多网站的防盗链功能就是这么做的,如果不是本站的域名请求就拒绝其链接,或者返回一个不允许在外站显示的公共图片。
2、检查表单token
在跳转到每个表单时,每次都随机生成一个不固定的token值用于回传验证,所以如果是用户正常提交的话肯定会包含这个值,而这个值不存在cookie中攻击者拿不到这个值,自然提交的请求是不合法的。如果不使用cookie的前提下也可以设置cookie为httpOnly禁止脚本获取到cookie信息。
3、检查验证码
使用验证码,简单粗暴,判断请求的验证码是否但用户体检会非常差,用户不希望所有的操作都要输入验证码,所以,不是非常重要的环节建议不要使用验证码。
转载地址:https://maokun.blog.csdn.net/article/details/80178712 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
第一次来,支持一个
[***.219.124.196]2024年04月11日 13时30分17秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
Vue 3.0 中令人激动的新功能:Portals+新的自定义指令API
2019-05-01
requestAnimationFrame详解以及无线页面优化
2019-05-01
python2.6.x/python3发送邮件,并在正文中显示附件中的图片
2019-05-01
Dubbo服务治理向SpringCloud服务治理兼容,过渡
2019-05-01
JAVA使用HBase的Rowkey精确批量处理
2019-05-01
Collections排序sort排序list,单个及多条件排序
2019-05-01
Mysql中where 条件中加 if 判断-纯jdbc
2019-05-01
分布式数据中间件TDDL、Amoeba、Cobar、MyCAT架构比较
2019-05-01
Sharding-JDBC的SQL引擎(Druid)处理的支持情况总结
2019-05-01
Apache Kafka:优化部署的 10 种最佳实践
2019-05-01
HBase 中加盐之后的表如何读取:Spark 篇
2019-05-01
一篇文章了解 Spark Shuffle 内存使用
2019-05-01
【免费下载】某平台3980元Hadoop大数据/机器学习全套视频,仅此1次
2019-05-01
Apache Hive 联邦查询(Query Federation)
2019-05-01
为什么说流处理即未来?
2019-05-01
Leetcode 剑指 Offer 39. 数组中出现次数超过一半的数字 c#
2019-05-01
Leetcode 35. 搜索插入位置 c#
2019-05-01
LeetCode64:最小路径和
2019-05-01
LeetCode931. 下降路径最小和
2019-05-01