WEB攻击手段及防御第3篇-CSRF

Posted Java技术栈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了WEB攻击手段及防御第3篇-CSRF相关的知识,希望对你有一定的参考价值。


概念


CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。


防御手段


既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。


防御的手段一般有:


1、检查referer



2、检查表单token


在跳转到每个表单时,每次都随机生成一个不固定的token值用于回传验证,所以如果是用户正常提交的话肯定会包含这个值,而这个值不存在cookie中攻击者拿不到这个值,自然提交的请求是不合法的。如果不使用cookie的前提下也可以设置cookie为httpOnly禁止脚本获取到cookie信息。


3、检查验证码


使用验证码,简单粗暴,判断请求的验证码是否但用户体检会非常差,用户不希望所有的操作都要输入验证码,所以,不是非常重要的环节建议不要使用验证码。



以上是关于WEB攻击手段及防御第3篇-CSRF的主要内容,如果未能解决你的问题,请参考以下文章

总结几种常见web攻击手段极其防御方式

总结几种常见web攻击手段及其防御方式

常见的网站攻击手段和防御方法

CSRF的攻击与防御 详细版

Exp9 WEB安全基础 20154326杨茜

20154302薛师凡 Exp9 Web安全基础