WEB攻击手段及防御第3篇-CSRF
来源:互联网 发布:php countable 编辑:程序博客网 时间:2024/05/29 18:09
概念
CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。
防御手段
既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。
防御的手段一般有:
1、检查referer
referer是http header的请求头属性,标识了请求的来源地址,通过检查这个属性可以判断请求地址是否合法域名。很多网站的防盗链功能就是这么做的,如果不是本站的域名请求就拒绝其链接,或者返回一个不允许在外站显示的公共图片。
2、检查表单token
在跳转到每个表单时,每次都随机生成一个不固定的token值用于回传验证,所以如果是用户正常提交的话肯定会包含这个值,而这个值不存在cookie中攻击者拿不到这个值,自然提交的请求是不合法的。如果不使用cookie的前提下也可以设置cookie为httpOnly禁止脚本获取到cookie信息。
3、检查验证码
使用验证码,简单粗暴,判断请求的验证码是否但用户体检会非常差,用户不希望所有的操作都要输入验证码,所以,不是非常重要的环节建议不要使用验证码。
阅读全文
0 0
- WEB攻击手段及防御第3篇-CSRF
- WEB攻击手段及防御第1篇-XSS
- Web攻击手段-CSRF攻击及防御策略
- CSRF攻击介绍及常用防御手段
- WEB攻击手段及防御第2篇-SQL注入
- WEB攻击手段及防御-扩展篇
- 前端攻防篇-CSRF攻击及防御
- CSRF攻击介绍及防御
- CSRF攻击及防御措施
- CSRF攻击介绍及防御
- CSRF攻击原理及防御
- CSRF攻击原理及防御
- DDoS的攻击方式及防御手段
- 常用网站攻击手段及防御方法
- 常用网站攻击手段及防御方法
- 浅析XSS和CSRF攻击及防御
- CSRF攻击与防御
- CSRF攻击与防御
- mysql语句性能开销检测profiling详解
- 常用加密算法解析
- oracle database 12c Release 2-Managing Undo 翻译(第四章节)
- WEB攻击手段及防御第1篇-XSS
- WEB攻击手段及防御第2篇-SQL注入
- WEB攻击手段及防御第3篇-CSRF
- Swift
- 微框架spark(java)讲解
- python编程基础—正则表达式
- WEB攻击手段及防御-扩展篇
- 面象对象设计6大原则之二:开放封闭原则
- 面象对象设计6大原则之六:迪米特原则
- 面象对象设计6大原则之五:依赖倒置原则
- css3制作天气预报icons