有声小说,完美世界前传下载,新寡妇村传奇

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

WEB怎么防御CSRF攻擊

本篇內(nèi)容主要講解“WEB怎么防御CSRF攻擊”，感興趣的朋友不妨來看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“WEB怎么防御CSRF攻擊”吧!

創(chuàng)新互聯(lián)是專業(yè)的仙居網(wǎng)站建設(shè)公司，仙居接單;提供網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站建設(shè),網(wǎng)頁設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行仙居網(wǎng)站開發(fā)網(wǎng)頁制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來合作!

概念

CSRF全稱即Cross Site Request forgery，跨站點(diǎn)請(qǐng)求偽造，攻擊者通過跨站點(diǎn)進(jìn)行偽造用戶的請(qǐng)求進(jìn)行合法的非法操作，其攻擊手法是通過竊取用戶cookie或服務(wù)器session獲取用戶身份，在用戶不知情的情況下在攻擊者服務(wù)器模擬偽造用戶真實(shí)的請(qǐng)求。

防御手段

既然是跨站點(diǎn)攻擊，所以防御的手段無非是識(shí)別請(qǐng)求的來源是否合法。

防御的手段一般有：

1、檢查referer

referer是http header的請(qǐng)求頭屬性，標(biāo)識(shí)了請(qǐng)求的來源地址，通過檢查這個(gè)屬性可以判斷請(qǐng)求地址是否合法域名。很多網(wǎng)站的防盜鏈功能就是這么做的，如果不是本站的域名請(qǐng)求就拒絕其鏈接，或者返回一個(gè)不允許在外站顯示的公共圖片。

2、檢查表單token

在跳轉(zhuǎn)到每個(gè)表單時(shí)，每次都隨機(jī)生成一個(gè)不固定的token值用于回傳驗(yàn)證，所以如果是用戶正常提交的話肯定會(huì)包含這個(gè)值，而這個(gè)值不存在cookie中攻擊者拿不到這個(gè)值，自然提交的請(qǐng)求是不合法的。如果不使用cookie的前提下也可以設(shè)置cookie為httpOnly禁止腳本獲取到cookie信息。

3、檢查驗(yàn)證碼

使用驗(yàn)證碼，簡(jiǎn)單粗暴，判斷請(qǐng)求的驗(yàn)證碼是否但用戶體檢會(huì)非常差，用戶不希望所有的操作都要輸入驗(yàn)證碼，所以，不是非常重要的環(huán)節(jié)建議不要使用驗(yàn)證碼。

到此，相信大家對(duì)“WEB怎么防御CSRF攻擊”有了更深的了解，不妨來實(shí)際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！

本文題目：WEB怎么防御CSRF攻擊
本文來源：http://fisionsoft.com.cn/article/pjigdi.html

新聞中心

其他資訊