CSRF: Cross Site Request Forgy 跨站请求伪造
第三方网站在用户不知情的情况下,诱导用户点击,或利用用户登陆凭证(Cookie)伪造请求。
CSRF.png
1.危害
用户不知情的情况下,获取用户敏感信息,利用用户账号发帖,盗取资金(转账、消费)等
2.防御
1)禁止第三方网站带Cookie
在Cookie中设置sameSite属性(只有Chrome支持)
2)提交前加一个图形验证码
Node库ccap可以自动生成图形验证码
每次get的时候后端保留验证码text,并返回图形验证码
每次post的时候校验用户提交的验证码
3)请求中加一个CSRF token
Node库csurf
创建一个中间件,中间件加入req.csrfToken()函数,可以生成CSRF token,并将token加入到Cookie和request header(或form表单)中。
对比两个token一致才能通过。
