CSRF及防范
Posted 媛道
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF及防范相关的知识,希望对你有一定的参考价值。
来源:CJ Ting
安全问题往往是:事发前岁月静好,事发后追悔莫及。
CSRF 定义
全称是 Cross-Site Request Forgery,跨站点请求伪造。简单来说:诱导用户在目标网站上执行非本意操作。
举个栗子
某个银行网站 A 的转账使用 GET /send?target=&amount= 接口,用户 B 已经登陆 A 网站。
我们诱导用户 B 点击链接 /send?target=me&amount=1000,那么,在一切不知情的情况下,用户将损失 1000 元。
或者,我们可以诱导用户访问某个页面,使用 。
又或者,我们可以给用户发送一封电子邮件,等等等等。
防范
CSRF 的本质是第三方触发了用户对于目标网站的请求,该请求会携带 Cookie 因此鉴权不会有问题,从而导致了非用户本意的行为,服务端在渲染网页时,会生成一个 Token,存放着页面中以及 Cookie 中。客户端在请求时,会携带这个 Token,服务端会校验,如果 Token 不匹配,说明该请求并非来自于我们自己的站点。这个方案简单有效,而且一般来说框架可以替我们透明处理掉。
以上是关于CSRF及防范的主要内容,如果未能解决你的问题,请参考以下文章