前端安全问题:CSRF
2017-04-06 14:21
253 查看
什么是csrf:
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。
csrf原理:
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
CSRF的防御
(1).Cookie Hashing(所有表单都包含同一个伪随机值):
这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了。这个方法可以杜绝99%的CSRF攻击了。
(2).验证码
这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。
csrf原理:
从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
CSRF的防御
(1).Cookie Hashing(所有表单都包含同一个伪随机值):
这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了。这个方法可以杜绝99%的CSRF攻击了。
(2).验证码
这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串
相关文章推荐
- PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
- magento nginx 在前端使用安全 URL 问题
- 前端安全问题
- 前端安全问题
- 前端在https请求的安全配置问题
- Web的前端设计的安全问题
- 安全测试===8大前端安全问题(下)
- 防CSRF攻击:一场由重复提交的问题引发的前端后端测试口水战
- 防CSRF攻击:一场由重复提交的问题引发的前端后端测试口水战
- web 安全问题(一):CSRF 攻击
- HP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
- web前端安全机制问题全解析
- 前端 安全 问题
- 前端的安全问题?
- 前端安全问题
- PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
- MVC4.0 sql脚本、跨站脚本(XSS)、跨站伪造请求(CSRF)三种常见安全问题处理
- PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
- 8大前端安全问题
- 安全测试===8大前端安全问题(上)