跨站请求伪造攻击(CSRF)
生活随笔
收集整理的這篇文章主要介紹了
跨站请求伪造攻击(CSRF)
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
CSRF: cross site request forgery(跨站請求偽造)
之前在筆試中做到,就簡單做個筆記
CSRF攻擊流程
一個典型的CSRF攻擊有著如下的流程:
- 受害者登錄a.com,并保留了登錄憑證(Cookie)。
- 攻擊者引誘受害者訪問了b.com。
- b.com 向 a.com 發送了一個請求:a.com/act=xx。瀏覽器會默認攜帶a.com的Cookie。
- a.com接收到請求后,對請求進行驗證,并確認是受害者的憑證,誤以為是+ 受害者自己發送的請求。
a.com以受害者的名義執行了act=xx。 - 攻擊完成,攻擊者在受害者不知情的情況下,冒充受害者,讓a.com執行了自己定義的操作。
來源:https://www.cnblogs.com/lr393993507/p/9834856.html
要點總結:攻擊者借助受害者Cookie欺騙服務器,讓服務器以為是受害者在操作
防范策略
- 用戶操作限制——驗證碼機制
- 請求來源限制——驗證 HTTP Referer 字段
- 額外驗證機制——token的使用
- 曲線救國——在HTTP頭中自定義屬性并驗證
來源:https://zhuanlan.zhihu.com/p/37293032
補充
Cookie 和Session 都是用于記錄一些用戶的狀態信息,兩者主要區別:
- Cookie: 記錄在客戶端
- Session: 記錄在服務端
總結
以上是生活随笔為你收集整理的跨站请求伪造攻击(CSRF)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: main函数执行前执行一个函数的写法
- 下一篇: 一文了解结构体字节对齐