怎么样做好csrf防御?这三方面要注意
发布时间:2023-06-03 08:57:18 所属栏目:安全 来源:
导读: 这篇文章给大家主要分享的知识点是以下的有关怎样高效率地做好csrf电子邮件防御的方法。csrf是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。做好csrf防御是很重要的,下文我的们就来看
|
这篇文章给大家主要分享的知识点是以下的有关怎样高效率地做好csrf电子邮件防御的方法。csrf是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。做好csrf防御是很重要的,下文我的们就来看看目前防御 CSRF 攻击主要策略。 csrf是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 csrf防御方法: 目前防御 CSRF 攻击主要有三种策略: 1、验证 HTTP Referer 字段; 2、在请求地址中添加 token 并验证; 3、在 HTTP 头中自定义属性并验证。 下面我们来具体说一下: (1)验证 HTTP Referer 字段 根据 HTTP 协议,在 HTTP 头中有一个字段叫 Referer,它记录了该 HTTP 请求的来源地址。在通常情况下,访问一个安全受限页面的请求来自于同一个网站。而如果黑客要对银行网站实施 CSRF 攻击,他只能在他自己的网站构造请求,用户通过黑客的网站向银行发送请求,以保护您的电脑,该请求的 Referer 是指向黑客自己的网站。 (2)在请求地址中添加 token 并验证 CSRF 攻击之所以能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于 cookie 中,因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。 (3)在 HTTP 头中自定义属性并验证 这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
