CSRF漏洞防御方法
Posted F11Team
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF漏洞防御方法相关的知识,希望对你有一定的参考价值。
一、CSRF漏洞产生条件
1、未验证访问来源
2、未在请求中加入额外的参数用于判断请求是否异常,如token技术
3、请求中不包含用于唯一标识用户的参数或只有用户知道的参数,如修改密码时的原密码等
二、CSRF漏洞的防御
1、验证referer字段
此方法可以在一定程度上防御CSRF漏洞,但是效果不好。原因如下:
1)虽然浏览器默认不能修改referer字段的值,但不是绝对的。将希望放在浏览器等第三方的身上,肯定是不安全的。
2)为了隐私着想,用户可能会自己设置浏览器不再发送referer字段,在这种情况下,当应用发现没有referer字段的请求,可能会误拦合法用户,影响用户的使用。
3)使用正则的方式匹配referer字段是有机会被绕过的。
2、请求添加token并后端验证
点击原文链接获取全文
以上是关于CSRF漏洞防御方法的主要内容,如果未能解决你的问题,请参考以下文章