力控web发布常见问题?以下内容主要是针对遇上跨站请求伪造指什么的问题,我们该怎么理解呢。跨站请求伪造(CSRF)是指攻击者利用用户在某一站点的身份,在用户不知情的情况下,伪装成用户的请求,让站点执行攻击者想要的操作,下面这篇文章将为你提供一个参考思路,希望能帮你解决到相关问题。
力控web发布常见问题
1、跨站脚本攻击(Cross Site Scripting)
解决方案
xss之所以会发生,是因为用户输入的数据变成了代码,因此需要对用户输入的数据进行html转义处理,将其中的“尖括号”,“单引号”,“双引号”之类的特殊字符进行转义编码。
2、SQL注入
报错时,尽量使用错误页面覆盖堆栈信息
3、跨站请求伪造(Cross-Site Request Forgery)
解决方案
(1)将cookie设置为HttpOnly
server.xml如下配置
1
<;Context docBase=";项目"; path=";/netcredit"; reloadable=";false"; useHttpOnly=";true";/>;
web.xml如下配置
(2)增加token
表单中增加一个隐藏域,提交时将隐藏域提交,服务端验证token。
(3)通过referer识别
根据Http协议,在HTTP头中有一个字段交Referer,它记录了HTTP请求的来源地址。如果攻击者要实施csrf攻击时,必须从其他站点伪造请求,当用户通过其他网站发送请求时,请求的Referer的值是其他网站的网址。因此可以对每个请求验证其Referer值即可。
跨站请求伪造指什么
1、跨站请求伪造(CSRF)是指攻击者利用用户在某一站点的身份,在用户不知情的情况下,伪装成用户的请求,让站点执行攻击者想要的操作。
2、举个例子来说,假设用户C已经登陆了站点A且未退出,此时同时打开站点B,站点B上有一个表单: </form 如果站点A没有做CSRF防范措施,并且判断转账的用户是当前的用户,那么站点A在产生这个请求时,会将当前用户C的Cookie一并带上,站点A服务器认为这是C本人的操作,因此站点A将执行攻击者的需求,将1000元钱转到攻击者的账户中。
3、CSRF由于可以利用被攻击者已经认可的凭证,相比于其它攻击有很大的优势,它可以让攻击者冒充被攻击者进行请求,同时又能避免接口的权限检查。
4、CSRF攻击使用非常广泛,几乎每一种Web应用都有可能受其害,例如:财务类应用,网上购物,所有可能传输敏感信息的、修改系统账号密码的等等。
5、为了防范CSRF攻击,Web开发者可以通过采取如下几个技术措施: 1.对所有输入参数等操作进行校验:要验证输入参数是否有效、参数人为干预是否安全等,以保证操作安全; 2.仅允许由正规输入表单发起的操作:通过仅仅允许由正规输入表单发起的操作,可以避免前面提到的CSRF攻击; 3.不允许跨站提交:禁止任何允许用户在当前网站以外的网站中发出请求; 4.采用Token校验机制:利用Token生成算法,给用户所发出的所有请求添加一个无法伪造的标记,以此来验证请求是否是伪造的。
6、CSRF是一种非常有威胁性的攻击手段,如果没有采取有效的防范措施的话,很可能会导致严重的安全隐患。
7、针对CSRF的攻击防范,需要我们充分重视,并采取多种安全措施,以确保网站的安全操作。
以上就是为你整理的跨站请求伪造指什么全部内容,希望文章能够帮你解决相关问题,更多请关注本站科技问答百科栏目的其它相关文章!