首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >Web安全

Web安全

作者头像
epoos
发布2022-06-06 16:06:26
发布2022-06-06 16:06:26
1K0
举报
文章被收录于专栏:epoos.comepoos.com

维基百科解释

跨站请求伪造(英語:Cross-site request forgery),也被称为 one-click attack 或者 session riding。 通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

常规解释

跨站请求伪造,简称 CSRF。 是一种诱骗用户在当前已登录的应用程序上执行非本意的操作的攻击方法,诱导用户发起非本意的请求,执行恶意操作。 比如让用户在非自愿的情况下访问某个页面请求或者ajax请求,执行用户非自愿的操作。 例如:以用户的名义发送邮件、发送消息、购买商品、转账汇款、发布文章等。

CSRF 防护

1.同源检测,通过检查和校验refer信息,禁止外域或者不信任域名发起的请求 2.令牌同步模式(Synchronizer token pattern,简称STP),对于重要请求,按照约定规则生成令牌,发起请求的时候服务端对令牌进行校验,校验不通过则不处理该请求 3.双重校验机制,在请求中的非cookie位置额外跟服务端约定一个token校验项,让攻击者无法获得该token来防止攻击 4.Samesite Cookie属性,Chrome最新防护机制;Samesite=Strict 模式下,从第三方网站发起的请求都无法带上Cookie

相关链接

Cookie 的 SameSite 属性 如何防csrf攻击 维基百科csrf

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018-11-24,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 维基百科解释
  • 常规解释
    • CSRF 防护
  • 相关链接
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档