什么是CSRF攻击如何预防?本章内容给大家谈谈关于遇上CSRF攻击是什么的问题,我们该怎么理解呢。CSRF(跨站请求伪造)是攻击者利用网站暴露给用户的漏洞,向被攻击者发起有害的网络请求,来钓鱼情况,下面这篇文章将为你提供一个参考思路,希望能帮你解决到相关问题。
什么是CSRF攻击如何预防
CSRF攻击,全称为“Cross-site request forgery”,中文名为跨站请求伪造,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
XSS主要是利用站点内的信任用户,而CSRF则通过伪装来自受信族缓任用户的请求,来利用受信任的网站。
与XSS相比,CSRF更具危险性。
CSRF攻击的危害:主要的危害来自于攻击者盗用用户身份,发送恶意请求。
比如毁锋:模拟用户发送邮件,发消息,以及支付、转账等。
如何防御CSRF攻击:
1、重要数据交互采用POST进行接收,当然POST也不是万能的,伪造一个form表单即可破解。
2、使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。
3、出于用户体验考虑,网站不能给所有的操作都加上验证码,因此验证码只能作为一种辅助手段兆余模,不能作为主要解决方案。
4、验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。
5、为每个表单添加令牌token并验证。
CSRF攻击是什么
1、CSRF(跨站请求伪造)是攻击者利用网站暴露给用户的漏洞,向被攻击者发起有害的网络请求,来钓鱼情况。
2、攻击者可以在普通用户的浏览器中构建一个伪造的请求,当用户打开网页的时候这个请求会自动被发送,网站接收到请求以后,会认为这个请求是正常的用户发出的请求。
3、CSRF攻击广泛存在于传统Web应用程序中,其核心原理是,网站在处理请求时,不会考虑跨站攻击的可能性,而攻击者可以在普通用户浏览器中构建一个潜在的危险请求,悄悄混入正常的用户请求流中,导致服务端错误地执行恶意指令。
4、其主要机制是:攻击者可以让受害者的浏览器窃取Cookie信息或者误用Cookie,或者恶意构造Html表单,静默地发出不被允许的Http请求,使服务器执行不经授权的操作。
5、防范CSRF攻击有多种方法:
为每个请求添加验证令牌:在客户端Http请求中临时添加名为“CSRF_Token”的认证字段,服务器做检验,接收到的Token值必须与服务端的一致,否则就是CSRF攻击。
限制可发起请求的域:限制可发出攻击的外部域,对每个非同源的请求,就无法发起CSRF攻击。
在可信任的前端消息中验证一次:让用户在发送请求前,在可信任的网页对请求数据进行验证,这可以避免攻击者构建在普通用户浏览器中伪造的请求。
使用双重认证:授权时要求用户进行双重认证,或者使用HTTP请求方法加以限制,如只允许使用POST请求的方式。
以上就是为你整理的CSRF攻击是什么全部内容,希望文章能够帮你解决相关问题,更多请关注本站科技问答百科栏目的其它相关文章!