WEB攻击手段及防御第3篇-CSRF
生活随笔
收集整理的這篇文章主要介紹了
WEB攻击手段及防御第3篇-CSRF
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
?
概念
CSRF全稱即Cross Site Request forgery,跨站點請求偽造,攻擊者通過跨站點進行偽造用戶的請求進行合法的非法操作,其攻擊手法是通過竊取用戶cookie或服務器session獲取用戶身份,在用戶不知情的情況下在攻擊者服務器模擬偽造用戶真實的請求。
?
防御手段
既然是跨站點攻擊,所以防御的手段無非是識別請求的來源是否合法。
?
防御的手段一般有:
1、檢查referer
referer是http header的請求頭屬性,標識了請求的來源地址,通過檢查這個屬性可以判斷請求地址是否合法域名。很多網(wǎng)站的防盜鏈功能就是這么做的,如果不是本站的域名請求就拒絕其鏈接,或者返回一個不允許在外站顯示的公共圖片。
?
2、檢查表單token
在跳轉(zhuǎn)到每個表單時,每次都隨機生成一個不固定的token值用于回傳驗證,所以如果是用戶正常提交的話肯定會包含這個值,而這個值不存在cookie中攻擊者拿不到這個值,自然提交的請求是不合法的。如果不使用cookie的前提下也可以設置cookie為httpOnly禁止腳本獲取到cookie信息。
?
3、檢查驗證碼
使用驗證碼,簡單粗暴,判斷請求的驗證碼是否但用戶體檢會非常差,用戶不希望所有的操作都要輸入驗證碼,所以,不是非常重要的環(huán)節(jié)建議不要使用驗證碼。
總結(jié)
以上是生活随笔為你收集整理的WEB攻击手段及防御第3篇-CSRF的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 一分钟开启Tomcat https支持
- 下一篇: WEB攻击手段及防御第1篇-XSS