怎么防止跨站请求伪造攻击(CSRF)()
一、CSRF 是什么?
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
二、实际攻击场景
下面用一个银行网站的转账功能,说明攻击原理。备注:涉及到 URL 等信息都是虚构。
1、登录账号
- 正常登录了一家银行网站,查看其后台信息后,没有退出登录;
- 假设这家银行操作转账的 URL 是:
https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName
- 此时你看到其他网站的一个诱导链接,你下意识点开了;
- 诱导链接中包含恶意代码(用 转账链接 替代 真实图片链接)
文章图片
- 点击链接后,浏览器会打开
中 src 属性的链接来加载图片,但实际上执行了转账操作;
- 转账请求所用电脑、浏览器、ip等环境跟登录账号时的环境一模一样,银行网站后台会认为这就是你本人在操作,所以验证通过,直接转账。
1、第一种方法:验证码 给手机发送数字验证码、图形化验证码让客户识别、让用户再次输入账号密码等进行再次身份验证。
2、第二种方法:Token
- Token 使用过程:
1、服务器生成一个 CSRF token; 2、客户端(浏览器) 提交表单中含有 CSRF token 信息; 3、服务端接收 CSRF token 并验证其有效性。
- 原理说明:
【怎么防止跨站请求伪造攻击(CSRF)()】攻击者有可能在上面客户端中拿到 CSRF token,但是攻击者只能使用 JavaScript 来发起请求,如果服务器不支持 CORS(跨域资源),那么攻击者的跨域 JavaScript 请求
是会被服务器拒绝,达到防止 CSRF 攻击目的。
- Node.js 项目中推荐使用
csurf
,具体使用方法,看这里!
- 怎么防止跨站请求伪造攻击(CSRF)?
推荐阅读
- 遇到一哭二闹三打滚的孩子,怎么办┃山伯教育
- 七年之痒之后
- 开花店的前景怎么样()
- 私通和背叛,他怎么看(——晨读小记)
- 有句话忍很久了,女生要求买房怎么就物质了()
- 在线版的迅捷思维导图怎么操作()
- 昨晚做春梦了吗(教给你怎么做最厉害的!梦里还有维多利亚的天使)
- 年轻人对未来迷茫时该怎么办()
- FBI怎么和恐怖分子谈判
- 现役联盟前十怎么排(詹姆斯榜首无悬念!杜兰特库里位置不确定!)