CSRF攻击原理和防御
Posted 旗鱼云梯
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF攻击原理和防御相关的知识,希望对你有一定的参考价值。
1
CSRF攻击简介
2
CSRF攻击原理
3
CSRF攻击防御
get接口太容易被拿来做CSRF攻击,接口最好限制为post使用,get则无效,降低攻击风险。当然post并不是万无一失,攻击者只要构造一个form就可以,但需要在第三方页面做,这样就增加暴露的可能性。
3、检查Referer字段
CSRF伪造的请求与用户正常的请求相比最大的区别就是请求头中的Referer值不同,我们可以根据这点来防御CSRF。在接收请求的服务端判断请求的Referer头是否为正常的发送请求的页面,如果不是,则进行拦截。
验证码强制用户必须与应用进行交互,才能完成最终请求。在通常情况下,验证码能很好遏制CSRF攻击。但是出于用户体验考虑,网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段,不能作为主要解决方案。
以上是关于CSRF攻击原理和防御的主要内容,如果未能解决你的问题,请参考以下文章