攻击过程:
诱使用户访问一个页面,利用用户身份在第三方站点执行一次操作。
在介绍CSRF之前先说说浏览器的Cookie策略
Cookie分为本地Cookie,即服务器设置了失效时间的Cookie,还有种是临时Cookie,存在浏览器内存中。
当跨站点请求伪造进行攻击时,往往通过Cookie进行。
CSRF防御手段
1.验证码
CSRF攻击往往是在用户不知情的情况下发生的,所以可以通过加上验证码让用户与应用交互,完成最终请求,可以有效遏制CSRF攻击。但用户体验不好,不可能对所有操作加上验证码,所以只能是辅助手段。
2.Anti CSRF Token
CSRF的token是根据“不可预测性原则”设计的,所以token生成要足够随机。
