跨站请求伪造

跨站请求伪造(CSRF)是指攻击者利用用户在某一站点的身份,在用户不知情的情况下,伪装成用户的请求,让站点执行攻击者想要的操作。
举个例子来说,假设用户C已经登陆了站点A且未退出,此时同时打开站点B,站点B上有一个表单:

</form

如果站点A没有做CSRF防范措施,并且判断转账的用户是当前的用户,那么站点A在产生这个请求时,会将当前用户C的Cookie一并带上,站点A服务器认为这是C本人的操作,因此站点A将执行攻击者的需求,将1000元钱转到攻击者的账户中。

CSRF由于可以利用被攻击者已经认可的凭证,相比于其它攻击有很大的优势,它可以让攻击者冒充被攻击者进行请求,同时又能避免接口的权限检查。CSRF攻击使用非常广泛,几乎每一种Web应用都有可能受其害,例如:财务类应用,网上购物,所有可能传输敏感信息的、修改系统账号密码的等等。

为了防范CSRF攻击,Web开发者可以通过采取如下几个技术措施:

1. 对所有输入参数等操作进行校验:要验证输入参数是否有效、参数人为干预是否安全等,以保证操作安全;

2. 仅允许由正规输入表单发起的操作:通过仅仅允许由正规输入表单发起的操作,可以避免前面提到的CSRF攻击;

3. 不允许跨站提交:禁止任何允许用户在当前网站以外的网站中发出请求;

4. 采用Token校验机制:利用Token生成算法,给用户所发出的所有请求添加一个无法伪造的标记,以此来验证请求是否是伪造的。

总之,CSRF是一种非常有威胁性的攻击手段,如果没有采取有效的防范措施的话,很可能会导致严重的安全隐患。因此,针对CSRF的攻击防范,需要我们充分重视,并采取多种安全措施,以确保网站的安全操作。

与“跨站请求伪造”相关热搜词跨站请求伪造服务器CookieWeb开发

  • 跨站请求伪造是什么

    跨站请求伪造(CSRF)是一种利用用户在已登录Web应用程序中的身份验证信息执行未经授权操作的攻击。攻击者通过诱使用户访问恶意网站或点击链接,利用用户当前身份发送恶意请求。防范措施包括同源策略、添加CSRF令牌、限制表单提交和定期审查代码。
    04月13日 00
  • CSRF是什么

    跨站请求伪造(Cross-site request forgery)通常缩写为CSRF或者XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,CSRF利用的是网站对用户网页浏览器的信任。
    2020年08月 00