前端安全
- 常见前端安全问题有: xss攻击、 csrf攻击 两种,今天总结一下目前了解的csrf攻击方式以及规避方法。
概念
- CSRF 跨站请求攻击 英文(cross-site request forgery)
实施过程
- 用户小明登录 A网站,A网站下发cookie 用来验证当前用户;
- 小明在未注销A网站的前提下 登录B网站(攻击者的网站),B网站诱引小敏点击页面某些部分的方式、携带A网站的cookie,网站A并不知道该请求其实是由B发起的,所以会根据小明的Cookie信息授权处理请求,导致来自网站B的恶意代码被执行。比如:添加关注、取消关注、添加商品、结算、转账、发送垃圾邮件等行为;
- 客官:请看图片
小明OS
防御方法
- token 验证
上一步提到的,网站B通过获取A网站下发的cookie进行恶意的请求操作,
token验证方法原理是在cookie之外再携带一个验证、进行除了cookie之外的验证、B网站拿不到这个token 也就无法合理的请求A网站。
用户小明登录A网站,A下发cookie以及token、将token数据保存在session中、每当用户提交操作时、将请求携带的token于session进行对比,不相同则拒绝执行操作。
token
-
reference 验证
网站进行请求操作时,在 http headers有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址,如果当前发起请求的地址不是规定的地址,拒绝当前请求。
qq音乐
