CSRF打是一种常见的网络打方式。
CSRF打原理:
- 利用会话打者利用用户Yi经登录的浏览器会话,在用户不知情的情况下发送恶意求。
- 诱导行为打者通过诱导用户点击链接或访问恶意网站,使得用户的浏览器发送打者构造的恶意求。
- 相信机制由于用户Yi经登录, 服务器会觉得这些个求来自用户本身,即使它们并非用户真实实意图。
CSRF打方式:
- 表单自动提交构造恶意网站, 诱导用户访问,利用用户的登录状态,自动提交恶意表单到目标网站。
- 图片引用打在恶意网站中插入指向目标网站的图片, 图片的src属性携带打参数,用户访问恶意网站时浏览器会自动向目标网站发送求。
- JSONP劫持利用JSONP的跨域特性,打者Neng获取用户登录后的敏感数据。
CSRF防着方法:
- Token机制在表单中加入一个服务器生成的随机token, 用户提交表单时服务器验证token是不是匹配,别让打者伪造求。
- Referer检查检查HTTP求的Referer头部,确保求是从可信的域名发出的。
- SameSite Cookie属性设置Cookie的SameSite属性为Strict或Lax,管束Cookie在跨站求中发送。
- 验证码用验证码确认用户的真实实操作意图,别让自动化打。
- 用HTTPS用HTTPS加密传信,别让中间人打。
CSRF打利用了Web浏览器的同源策略和用户的登录状态。为了防范CSRF打,需要采取许多种防着措施,并结合用,以增有力应用程序的平安性。
