csrf攻击原理及防范

csrf攻击原理及防范

csrf攻击原理:

       CSRF攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼。如用户当前已经登录了邮箱,或bbs,同时用户又在使用另外一个,已经被你控制的站点,我们姑且叫它钓鱼网站。这个网站上面可能因为某个图片吸引你,你去点击一下,此时可能就会触发一个js的点击事件,构造一个bbs发帖的请求,去往你的bbs发帖,由于当前你的浏览器状态已经是登陆状态,所以session登陆cookie信息都会跟正常的请求一样,纯天然的利用当前的登陆状态,让用户在不知情的情况下,帮你发帖或干其他事情。

timg.jpg

CSRF防御:

    通过 referer、token 或者 验证码 来检测用户提交。

    尽量不要在页面的链接中暴露用户隐私信息。

    对于用户修改删除等操作最好都使用post 操作 。

    避免全站通用的cookie,严格设置cookie的域。

csrf攻击原理及防范

喜欢(1)

评论 抢沙发

表情