CSRF跨站请求伪造
Posted Amev
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CSRF跨站请求伪造相关的知识,希望对你有一定的参考价值。
CSRF(跨站请求伪造)也称XSRF
作用:通过诱导已登陆重要站点的用户向危险的链接进行访问来模拟用户的行为进行攻击
根源:Web的隐式身份验证机制虽然保证了请求来自于某个用户的浏览器,却无法保证该请求得到了该用户的批准
应用场景:任何用户的操作行为例如转账、购物、修改密码等
优化攻击:钓鱼网站、诱导性的游戏网站、结合xss
防御手段: 1.关键操作只接受POST请求.
2.添加验证机制.
3.检查referer.
4.使用Token进行防御,对参数加密.
5.使用一次性Token,并更新Token.
以上是关于CSRF跨站请求伪造的主要内容,如果未能解决你的问题,请参考以下文章