浅谈CSRF

前端安全

  • 常见前端安全问题有: xss攻击、 csrf攻击 两种,今天总结一下目前了解的csrf攻击方式以及规避方法。

概念

  • CSRF 跨站请求攻击 英文(cross-site request forgery)

实施过程

  • 用户小明登录 A网站,A网站下发cookie 用来验证当前用户;
  • 小明在未注销A网站的前提下 登录B网站(攻击者的网站),B网站诱引小敏点击页面某些部分的方式、携带A网站的cookie,网站A并不知道该请求其实是由B发起的,所以会根据小明的Cookie信息授权处理请求,导致来自网站B的恶意代码被执行。比如:添加关注、取消关注、添加商品、结算、转账、发送垃圾邮件等行为;
  • 客官:请看图片
小明OS

防御方法

  • token 验证
    上一步提到的,网站B通过获取A网站下发的cookie进行恶意的请求操作,
    token验证方法原理是在cookie之外再携带一个验证、进行除了cookie之外的验证、B网站拿不到这个token 也就无法合理的请求A网站。
    用户小明登录A网站,A下发cookie以及token、将token数据保存在session中、每当用户提交操作时、将请求携带的token于session进行对比,不相同则拒绝执行操作。
token

  • reference 验证
    网站进行请求操作时,在 http headers有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址,如果当前发起请求的地址不是规定的地址,拒绝当前请求。


    qq音乐
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容