什么是 CSRF 攻击,如何避免?

2019-09-22  

CSRF:Cross Site Request Forgery(跨站点请求伪造)。
CSRF 攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起伪造用户操作的请求,达到攻击目的。

 

避免方法:

  • CSRF 漏洞进行检测的工具,如 CSRFTester、CSRF Request Builder...
  • 验证 HTTP Referer 字段
  • 添加并验证 token
  • 添加自定义 http 请求头
  • 敏感操作添加验证码
  • 使用 post 请求

 

参考:

1、CSRF 攻击实例

 

ConstXiong 备案号:苏ICP备16009629号-3