要知道,一個網站的運營並非易事,除了前期的研發投入、後期的運營投入外,網站的安全性也是很重要的。只要你的網站暴露在公網上,肯定會受到很多攻擊,而這些攻擊中有一種攻擊並不需要篡改網站原始碼就能發起攻擊,那就是CSRF攻擊。
CSRF是“跨站請求偽造”的英文簡稱,它主要是利用站點鑑權漏洞來實現攻擊的。通俗的說就是:攻擊者借用了你的身份,以你的名義發起了惡意請求,而對於伺服器來說這個請求是完全合法的,比如藉助你的名義來:購買商品、轉帳、刪除某些資料等。
知道了CSRF攻擊原理後,我們就可以透過很多措施來進行防範了,方案有以下幾類:
但是Referer是可以偽造的!
2、請求中新增Token驗證
要抵禦CSRF就要在請求中加入一些讓第三方無法偽造的資訊,而且這些資訊不能存放在Cookie中!所以我們可以在請求中加入Token,然後由伺服器端驗證此Token是否合法。
3、驗證碼
對於一些敏感操作可以要求輸入驗證碼進行確認操作,這樣就完全解決了CSRF了,只是操作流程上麻煩一些。
要知道,一個網站的運營並非易事,除了前期的研發投入、後期的運營投入外,網站的安全性也是很重要的。只要你的網站暴露在公網上,肯定會受到很多攻擊,而這些攻擊中有一種攻擊並不需要篡改網站原始碼就能發起攻擊,那就是CSRF攻擊。
什麼是CSRF?CSRF是“跨站請求偽造”的英文簡稱,它主要是利用站點鑑權漏洞來實現攻擊的。通俗的說就是:攻擊者借用了你的身份,以你的名義發起了惡意請求,而對於伺服器來說這個請求是完全合法的,比如藉助你的名義來:購買商品、轉帳、刪除某些資料等。
CSRF攻擊原理CSRF防禦措施知道了CSRF攻擊原理後,我們就可以透過很多措施來進行防範了,方案有以下幾類:
但是Referer是可以偽造的!
2、請求中新增Token驗證
要抵禦CSRF就要在請求中加入一些讓第三方無法偽造的資訊,而且這些資訊不能存放在Cookie中!所以我們可以在請求中加入Token,然後由伺服器端驗證此Token是否合法。
3、驗證碼
對於一些敏感操作可以要求輸入驗證碼進行確認操作,這樣就完全解決了CSRF了,只是操作流程上麻煩一些。