国产成人精品无码青草_亚洲国产美女精品久久久久∴_欧美人与鲁交大毛片免费_国产果冻豆传媒麻婆精东

18143453325 在線咨詢 在線咨詢
18143453325 在線咨詢
所在位置: 首頁(yè) > 營(yíng)銷資訊 > 網(wǎng)站運(yùn)營(yíng) > 怎么防止跨站請(qǐng)求偽造攻擊(CSRF)?

怎么防止跨站請(qǐng)求偽造攻擊(CSRF)?

時(shí)間:2023-04-24 09:45:02 | 來(lái)源:網(wǎng)站運(yùn)營(yíng)

時(shí)間:2023-04-24 09:45:02 來(lái)源:網(wǎng)站運(yùn)營(yíng)

怎么防止跨站請(qǐng)求偽造攻擊(CSRF)?:

一、CSRF 是什么?

跨站請(qǐng)求偽造(英語(yǔ):Cross-site request forgery),也被稱為 one-click attack 或者 session riding,通常縮寫為 CSRF 或者 XSRF, 是一種挾制用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法。

二、實(shí)際攻擊場(chǎng)景

下面用一個(gè)銀行網(wǎng)站的轉(zhuǎn)賬功能,說(shuō)明攻擊原理。備注:涉及到 URL 等信息都是虛構(gòu)。

1、登錄賬號(hào)

https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

2、惡意鏈接

<img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />

3、攻擊完成

三、防止 CSRF 攻擊

服務(wù)器端對(duì)請(qǐng)求做一次身份驗(yàn)證,拒絕掉無(wú)法通過(guò)驗(yàn)證的請(qǐng)求,即可方式 CSRF 攻擊。

1、第一種方法:驗(yàn)證碼

給手機(jī)發(fā)送數(shù)字驗(yàn)證碼、圖形化驗(yàn)證碼讓客戶識(shí)別、讓用戶再次輸入賬號(hào)密碼等進(jìn)行再次身份驗(yàn)證。

2、第二種方法:Token

1、服務(wù)器生成一個(gè) CSRF token; 2、客戶端(瀏覽器) 提交表單中含有 CSRF token 信息; 3、服務(wù)端接收 CSRF token 并驗(yàn)證其有效性。

攻擊者有可能在上面客戶端中拿到 CSRF token,但是攻擊者只能使用 JavaScript 來(lái)發(fā)起請(qǐng)求,如果服務(wù)器不支持 CORS(跨域資源),那么攻擊者的 跨域 JavaScript 請(qǐng)求 是會(huì)被服務(wù)器拒絕,達(dá)到防止 CSRF 攻擊目的。

四、參考文檔

關(guān)鍵詞:攻擊,請(qǐng)求,防止,偽造

74
73
25
news

版權(quán)所有? 億企邦 1997-2025 保留一切法律許可權(quán)利。

為了最佳展示效果,本站不支持IE9及以下版本的瀏覽器,建議您使用谷歌Chrome瀏覽器。 點(diǎn)擊下載Chrome瀏覽器
關(guān)閉