CSRF攻击
2017-03-12 15:42
204 查看
CSRF(Cross Site Request Forgery,跨站点请求伪造),攻击者通过跨站请求,以合法用户的身份进行非法操作,如转账交易、发表评论等,如下图所示:
CSRF攻击的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份。
CSRF的防御手段主要是识别请求者身份,主要有以下几种方法:
表单Token
CSRF是一个伪造用户请求的操作,所以需要构造用户请求的所有参数才可以。表单Token通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数:在页面表单中增加一个随机数作为Token,每次响应页面的Token都不相同,从正常页面提交的请求会包含该Token值,而伪造的请求无法获得该值,服务器检查请求参数中Token的值是否存在并且正确以确定请求提交者是否合法。
验证码
相对说来,验证码则更简单有效,即请求提交时,需要用户输入验证码,以避免在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验,所以请在必要时使用,如支付交易等关键页面。
Referer check
HTTP请求头的Referer域中记录着请求来源,可通过检查请求来源,验证其是否合法。很多网站使用这个功能实现图片防盗链(如果图片访问的页面来源不是来自自己网站的网页就拒绝)。
CSRF攻击的主要手法是利用跨站请求,在用户不知情的情况下,以用户的身份伪造请求。其核心是利用了浏览器Cookie或服务器Session策略,盗取用户身份。
CSRF的防御手段主要是识别请求者身份,主要有以下几种方法:
表单Token
CSRF是一个伪造用户请求的操作,所以需要构造用户请求的所有参数才可以。表单Token通过在请求参数中增加随机数的办法来阻止攻击者获得所有请求参数:在页面表单中增加一个随机数作为Token,每次响应页面的Token都不相同,从正常页面提交的请求会包含该Token值,而伪造的请求无法获得该值,服务器检查请求参数中Token的值是否存在并且正确以确定请求提交者是否合法。
验证码
相对说来,验证码则更简单有效,即请求提交时,需要用户输入验证码,以避免在用户不知情的情况下被攻击者伪造请求。但是输入验证码是一个糟糕的用户体验,所以请在必要时使用,如支付交易等关键页面。
Referer check
HTTP请求头的Referer域中记录着请求来源,可通过检查请求来源,验证其是否合法。很多网站使用这个功能实现图片防盗链(如果图片访问的页面来源不是来自自己网站的网页就拒绝)。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- csrf攻击
- CSRF攻击
- CSRF攻击
- CSRF攻击
- 安全 --- CSRF攻击
- CSRF攻击
- web开发常见安全问题(SQL注入、XSS攻击、CSRF攻击)
- 浅析:XSS攻击、SQL注入攻击和CSRF攻击
- 点击劫持 Framekiller--恶意frame导致CSRF攻击
- WEB安全_csrf攻击
- CSRF攻击
- 针对OAuth2的CSRF攻击
- shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击
- CSRF攻击
- web开发常见安全问题(SQL注入、XSS攻击、CSRF攻击)
- Django网站建设-sql注入、xss攻击、csrf攻击
- CSRF攻击
- csrf攻击
- csrf攻击
- web安全之token和CSRF攻击