CSRF学习笔记之CSRF的防御
来源:互联网 发布:中国洗脑 知乎 编辑:程序博客网 时间:2024/06/06 08:40
referer 验证
根据HTTP协议,在http请求头中包含一个referer的字段,这个字段记录了该http请求的原地址.通常情况下,执行转账操作的post请求www.bank.com/transfer.php
应该是点击www.bank.com
网页的按钮来触发的操作,这个时候转账请求的referer应该是www.bank.com
.而如果黑客要进行csrf攻击,只能在自己的网站www.hacker.com
上伪造请求.伪造请求的referer是www.hacker.com
.所以我们通过对比post请求的referer是不是www.bank.com
就可以判断请求是否合法.
这种方式验证比较简单,网站开发者只要在post请求之前检查referer就可以,但是由于referer是由浏览器提供的.虽然http协议有要求不能篡改referer的值.但是一个网站的安全性绝对不能交由其他人员来保证.
token 验证
从上面的样式可以发现,攻击者伪造了转账的表单,那么网站可以在表单中加入了一个随机的token来验证.token随着其他请求数据一起被提交到服务器.服务器通过验证token的值来判断post请求是否合法.由于攻击者没有办法获取到页面信息,所以它没有办法知道token的值.那么伪造的表单中就没有该token值.服务器就可以判断出这个请求是伪造的.
转载于:https://segmentfault.com/a/1190000007932293
阅读全文
0 0
- CSRF学习笔记之CSRF的防御
- CSRF学习笔记之CSRF的攻击与防御以及审计【00x1 】
- CSRF学习笔记之CSRF的攻击与防御以及审计【00x1 】
- CSRF学习笔记之CSRF的攻击与防御以及审计【00x1 】
- CSRF学习笔记之CSRF的攻击与防御以及审计【00x1 】
- CSRF学习笔记之CSRF的攻击与防御以及审计【00x1 】
- CSRF学习笔记之CSRF的攻击与防御以及审计【00x1 】
- CSRF的攻击与防御学习笔记(二)
- CSRF的防御
- web安全 之 csrf防御
- CSRF的攻击与防御
- CSRF的攻击与防御
- CSRF的攻击与防御
- CSRF的攻击与防御
- CSRF的攻击与防御
- CSRF的原理及防御
- 防御csrf的另一种方法
- CSRF的攻击和防御
- 遇见Laravel Migrations的migrate与rollback
- Android设计模式之装饰模式
- 2017.10.17
- Gradle基础知识——Groovy的闭包
- python3中将`&#x`(《新)的字符串转化为utf-8
- CSRF学习笔记之CSRF的防御
- 提高django性能
- file类、输入输出流和缓冲流
- memcache讲解和在.net中初使用
- eclipse窗口中显示类的方法列表
- 将三个数按从大到小输出
- php生成器
- java异常处理
- 机器学习_聚类分析_K-mens