js----CSRF-跨站请求伪造攻击

本文深入解析了CSRF(跨站请求伪造)攻击的概念、危害及防御措施。CSRF能使攻击者盗用用户身份,发送恶意请求,导致隐私泄露和财产损失。文章详细介绍了其工作原理,并提出了有效的防御策略。

一.CSRF是什么?

 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

二.CSRF可以做什么?

 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求
CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。

三.CSRF的原理

  下图简单阐述了CSRF攻击的思想:

四.CSRF的防御

  

CSRF的防御可以从服务端和客户端两方面着手,防御效果是从服务端着手效果比较好,现在一般的CSRF防御也都在服务端进行。
  • 通过token 或者 验证码 来检测用户提交
  • 尽量不要在页面的链接中暴露用户隐私信息
  • 对于用户修改删除等操作最好都使用post 操作 。
  • 避免全站通用的cookie,严格设置cookie的域。

 

转载于:https://www.cnblogs.com/SRH151219/p/10397946.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值