本篇内容主要讲解“WEB怎么防御CSRF攻击”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“WEB怎么防御CSRF攻击”吧!
概念
CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。
防御手段
既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。
防御的手段一般有:
1、检查referer
referer是http header的请求头属性,标识了请求的来源地址,通过检查这个属性可以判断请求地址是否合法域名。很多网站的防盗链功能就是这么做的,如果不是本站的域名请求就拒绝其链接,或者返回一个不允许在外站显示的公共图片。
2、检查表单token
在跳转到每个表单时,每次都随机生成一个不固定的token值用于回传验证,所以如果是用户正常提交的话肯定会包含这个值,而这个值不存在cookie中攻击者拿不到这个值,自然提交的请求是不合法的。如果不使用cookie的前提下也可以设置cookie为httpOnly禁止脚本获取到cookie信息。
3、检查验证码
使用验证码,简单粗暴,判断请求的验证码是否但用户体检会非常差,用户不希望所有的操作都要输入验证码,所以,不是非常重要的环节建议不要使用验证码。
到此,相信大家对“WEB怎么防御CSRF攻击”有了更深的了解,不妨来实际操作一番吧!这里是亿速云网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。