WEB攻击手段及防御第3篇-CSRF
发布日期:2021-07-01 01:30:45
浏览次数:3
分类:技术文章
本文共 555 字,大约阅读时间需要 1 分钟。
转载自
概念
CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。
防御手段
既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。
防御的手段一般有:
1、检查referer
referer是http header的请求头属性,标识了请求的来源地址,通过检查这个属性可以判断请求地址是否合法域名。很多网站的防盗链功能就是这么做的,如果不是本站的域名请求就拒绝其链接,或者返回一个不允许在外站显示的公共图片。
2、检查表单token
在跳转到每个表单时,每次都随机生成一个不固定的token值用于回传验证,所以如果是用户正常提交的话肯定会包含这个值,而这个值不存在cookie中攻击者拿不到这个值,自然提交的请求是不合法的。如果不使用cookie的前提下也可以设置cookie为httpOnly禁止脚本获取到cookie信息。
3、检查验证码
使用验证码,简单粗暴,判断请求的验证码是否但用户体检会非常差,用户不希望所有的操作都要输入验证码,所以,不是非常重要的环节建议不要使用验证码。
转载地址:https://maokun.blog.csdn.net/article/details/80178712 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
逛到本站,mark一下
[***.202.152.39]2024年05月03日 04时25分23秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
算法实现----二分查找go语言实现
2019-05-01
Redis中面试常见的问题整理
2019-05-01
Linux学习---中断和中断处理
2019-05-01
YUV / RGB 格式及快速转换算法
2019-05-01
共享收集的图像处理方面的一些资源和网站
2019-05-01
图像基本知识
2019-05-01
CMarkup
2019-05-01
网络爬虫(蜘蛛)Scrapy,Python安装!
2019-05-01
38款 流媒体服务器开源软件
2019-05-01
Using GDB in Visual Studio
2019-05-01
网络时间协议简介-----NTP(Network Time Protocol)
2019-05-01
简析STUN协议
2019-05-01
Winsock服务器内存资源管理
2019-05-01
Winsock 完成端口模型简介
2019-05-01
使用 Minidumps 和 Visual Studio .NET 进行崩溃后调试
2019-05-01
Debug 和 Release 编译方式的本质区别
2019-05-01
struts返回xml数据例子
2019-05-01
内存对齐详解
2019-05-01
秋招总结(一)-C++归纳
2019-05-01
秋招总结(三)-操作系统归纳
2019-05-01