Skip to content

Latest commit

 

History

History
13 lines (10 loc) · 1.21 KB

README.md

File metadata and controls

13 lines (10 loc) · 1.21 KB

CSRF 跨站请求伪造

CSRF 通过某些技术手段去欺骗浏览器(xss是欺骗用户)让浏览器以为是真实的用户,去访问一些用户之前常用的网站,并且获取用户的用户名密码等信息 的一种攻击手段,其核心就是 欺骗浏览器,让浏览器以为是真实的用户,自然而然的去相信这个虚伪的”用户“的过程

攻击的原理

比如你刚刚登陆了这个网站,然后我给你一张照片或者什么链接,我让你的浏览器认为是你自己, 跟你网站上的一些query一致,然后就可以让浏览器认为是你。这样就可以默默的改变你的网站内容,你却不不知道。

预防方案

  • Token 在页面上添加token隐藏字段,然后跟服务器进行对比。就可以判断是否是真人。
  • 检查 Referer 首部字段 Referer 首部字段位于 HTTP 报文中,用于标识请求来源的地址。检查这个首部字段并要求请求来源的地址在同一个域名下,可以极大的防止 CSRF 攻击。
  • 加入验证码就可以了,这个非常的有效。关键地方必须加以验证,不能紧靠某些字段就确定是本人。