CSRF:跨站点请求伪造攻击(Cross Site Request Forgery) 。就是攻击者伪造了你的身份,并且服务端在这种攻击方式下认可这个伪造的身份就是你,导致你的账号,网银等重要个人财产等信息安全的损失。
方法/步骤
1
第一步就是验证是否存在csrf漏洞,验证的方法很简单,把请求头的referer去掉,如果请求还有效,就说明一定存在漏洞。
2
第一种方法就是在HTTP中添加验证,通过验证 HTTP Referer 字段来防治。因为Referer 的值是由浏览器来提供的,但是这也并不是万无一失的。
3
第二种方法:就是在请求中添加token,什么是token技术,这里不在赘述了,相关资料度自行多多了解。
4
第三种方法在请求头中添加自定义属性,并且加以验证。这种方法在网站研发初始是可行的,缺点在于要对现有系统改造或者重写ajax请求实施困难。
5
第三种方法使用专线,或者对安全要求极高的机构,直接使用网络专线,内部系统不与外部系统有直接的网络交互,从物理层面避免了各种伪造类型的攻击。
注意事项
网络信息安全
上一篇:如何分辨医学类杂志的真与假
下一篇:.NET 如何解决CSRF问题