码迷,mamicode.com
首页 > 其他好文 > 详细

前端知识 |前端安全之CSRF

时间:2018-08-06 11:08:48      阅读:137      评论:0      收藏:0      [点我收藏+]

标签:漏洞   微博   不可   ken   请求   技术分享   cto   登录   one   

CSRF/XSRF(Cross-Site Request Forgery),即跨站请求伪造,也被称为“One Click Attack”或者Session Riding。基本原理是通过伪装来自受信任用户的请求来利用受信任的网站。
技术分享图片
×××原理:
如图所示,用户首先访问网站A,通过登录身份验证成功,网站A下发cookie保存在用户的浏览器中。用户又去访问了网站B,网站B在下发用户页面的时候会有一个引诱点击,这个引诱点击一般是一个链接,这个链接一般指向网站A的一个存在漏洞的API接口,尤其这个API接口是GET类型。当用户禁不住诱惑点击了这个引诱点击,这个点击就访问到了A网站,此时浏览器就会自动上传cookie,此时网站A对cookie进行确认,发现是合法用户,此时就会执行这个API的动作(以前微博就出现过CSRF×××,出问题的接口导致很多情况多了很多关注)。

总结
CSRF能造成×××的原理:
用户登录过网站A。
网站A中某一个接口存在着这种漏洞。这两条件缺一不可。

防御措施

1.Token验证
×××原理中访问漏洞接口的时候浏览器只上传了cookie,没有手动的上传一个token。这个token是用户登录注册甚至只是访问网站A,服务器会自动向用户本地存储一个token,在用户访问各个接口的时候,如果没带这个token,服务器就不会通过验证。所以当用户点击引诱链接,这个链接只会自动携带cookie,但是不会自动携带token,这样就能避免×××。

2.Referer验证
Referer,即页面来源。服务器通过判断页面来源是不是自己站点的页面来源,如果是就执行接口动作,如果不是一律拦截。这样也能避免×××。

3.隐藏令牌
类似于Token验证,原理是把token放在HTTP头的自定义属性中,而不是把信息放在链接上,增加了隐蔽性。本质上和Token验证没什么区别,只是用法上的一些区别。

前端知识 |前端安全之CSRF

标签:漏洞   微博   不可   ken   请求   技术分享   cto   登录   one   

原文地址:http://blog.51cto.com/13476205/2155115

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!