CSRF(跨站请求伪造)是攻击者利用网站暴露给用户的漏洞,向被攻击者发起有害的网络请求,来钓鱼情况。攻击者可以在普通用户的浏览器中构建一个伪造的请求,当用户打开网页的时候这个请求会自动被发送,网站接收到请求以后,会认为这个请求是正常的用户发出的请求。
CSRF攻击广泛存在于传统Web应用程序中,其核心原理是,网站在处理请求时, 不会考虑跨站攻击的可能性, 而攻击者可以在普通用户浏览器中构建一个潜在的危险请求, 悄悄混入正常的用户请求流中, 导致服务端错误地执行恶意指令。 其主要机制是:攻击者可以让受害者的浏览器窃取Cookie信息或者误用Cookie, 或者恶意构造Html表单, 静默地发出不被允许的Http请求, 使服务器执行不经授权的操作。
防范CSRF攻击有多种方法:
1.为每个请求添加验证令牌: 在客户端Http请求中临时添加名为“CSRF_Token”的认证字段, 服务器做检验, 接收到的Token值必须与服务端的一致, 否则就是CSRF攻击。
2.限制可发起请求的域: 限制可发出攻击的外部域, 对每个非同源的请求, 就无法发起CSRF攻击。
3.在可信任的前端消息中验证一次: 让用户在发送请求前, 在可信任的网页对请求数据进行验证, 这可以避免攻击者构建在普通用户浏览器中伪造的请求。
4.使用双重认证: 授权时要求用户进行双重认证, 或者使用HTTP请求方法加以限制, 如只允许使用POST请求的方式。
本文地址:IT问答频道 https://www.eeeoo.cn/itwenda/1059831.html,嗨游网一个专业手游免费下载攻略知识分享平台,本站部分内容来自网络分享,不对内容负责,如有涉及到您的权益,请联系我们删除,谢谢!
相关阅读
