CSRF攻击和防御
in 默认分类 with 0 comment

CSRF攻击和防御

in 默认分类 with 0 comment

csrf.png

什么是CSRF?

CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失。你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账。造成的问题包括:个人隐私泄露以及财产安全

如何防御?

尽量使用POST
加入验证码
验证Referer(当前请求来源地址)
Anti CSRF Token(请求加入Token)
加入自定义Header

Responses