csrf攻击

跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。

参考慕课手记

原理

在用户登陆站点B的前提下,从站点A,避开站点B的前端,发送请求到站点B。

防止手段

  • same-site
//用header 函数来设置cookie samesite
header('Set-Cookie:test=1234;SameSite=Lax');
  • referer
$_SERVER['HTTP_REFERER'];//referer头
//通过referer头来判断用户发送请求来源

  • 验证码
    用户每次访问,或提交数据,必须输入一个验证码

  • token
    应用于"anti csrf攻击",则服务器端会对Token值进行验证,判断是否和session中的Token值相等,若相等,则可以证明请求有效,不是伪造的。
    针对于每个用户,生成token,存储在session中以验证,不需要每次变化。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • CSRF攻击介绍及防御
    CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存...
    raincoco阅读 4,208评论 0 1
  • CSRF攻击与防御
    转载地址:http://www.phpddt.com/reprint/csrf.htmlCSRF概念:CSRF跨站...
    matianhe阅读 4,516评论 0 104
  • CSRF漏洞详细说明--转
    http://www.91ri.org/tag/fuzz-bug 通常情况下,有三种方法被广泛用来防御CSRF攻击...
    jdyzm阅读 9,648评论 0 5
  • CSRF攻击防御
    CSRF 攻击的应对之道web安全之token和CSRF攻击CSRF Token 的设计是否有其必要性? CSRF...
    拾壹北阅读 3,060评论 0 1
  • 读《房思琪的初恋乐园》有感
    这本书我越往后读,越是愤怒,越是绝望。林奕含在采访里说:“我的抒写是堕落的书写。”她说:“这不只是一个诱奸与强暴的...
    林溪桥阅读 4,834评论 2 1