前端安全
- 常見前端安全問題有: xss攻擊似袁、 csrf攻擊 兩種癞谒,今天總結(jié)一下目前了解的csrf攻擊方式以及規(guī)避方法胯陋。
概念
- CSRF 跨站請(qǐng)求攻擊 英文(cross-site request forgery)
實(shí)施過程
- 用戶小明登錄 A網(wǎng)站褥赊,A網(wǎng)站下發(fā)cookie 用來驗(yàn)證當(dāng)前用戶卜朗;
- 小明在未注銷A網(wǎng)站的前提下 登錄B網(wǎng)站(攻擊者的網(wǎng)站)蝌麸,B網(wǎng)站誘引小敏點(diǎn)擊頁面某些部分的方式点寥、攜帶A網(wǎng)站的cookie,網(wǎng)站A并不知道該請(qǐng)求其實(shí)是由B發(fā)起的来吩,所以會(huì)根據(jù)小明的Cookie信息授權(quán)處理請(qǐng)求敢辩,導(dǎo)致來自網(wǎng)站B的惡意代碼被執(zhí)行。比如:添加關(guān)注弟疆、取消關(guān)注戚长、添加商品、結(jié)算兽间、轉(zhuǎn)賬历葛、發(fā)送垃圾郵件等行為;
- 客官:請(qǐng)看圖片
小明OS
防御方法
- token 驗(yàn)證
上一步提到的,網(wǎng)站B通過獲取A網(wǎng)站下發(fā)的cookie進(jìn)行惡意的請(qǐng)求操作恤溶,
token驗(yàn)證方法原理是在cookie之外再攜帶一個(gè)驗(yàn)證乓诽、進(jìn)行除了cookie之外的驗(yàn)證、B網(wǎng)站拿不到這個(gè)token 也就無法合理的請(qǐng)求A網(wǎng)站咒程。
用戶小明登錄A網(wǎng)站鸠天,A下發(fā)cookie以及token、將token數(shù)據(jù)保存在session中帐姻、每當(dāng)用戶提交操作時(shí)稠集、將請(qǐng)求攜帶的token于session進(jìn)行對(duì)比,不相同則拒絕執(zhí)行操作饥瓷。
token
-
reference 驗(yàn)證
網(wǎng)站進(jìn)行請(qǐng)求操作時(shí)剥纷,在 http headers有一個(gè)字段叫 Referer,它記錄了該 HTTP 請(qǐng)求的來源地址呢铆,如果當(dāng)前發(fā)起請(qǐng)求的地址不是規(guī)定的地址晦鞋,拒絕當(dāng)前請(qǐng)求。
qq音樂