什么是csrf攻击?
跨站点请求伪造,指攻击者通过跨站请求,以合法的用户的身份进行非法操作。
(推荐教程:web服务器安全)
可以这么理解csrf攻击:攻击者盗用你的身份,以你的名义向第三方网站发送恶意请求。crsf能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。
如何防范csrf攻击
1、安全框架,例如spring security。token机制。
2、在http请求中进行token验证,如果请求中没有token或者token内容不正确,则认为csrf攻击而拒绝该请求。
3、验证码。通常情况下,验证码能够很好的遏制csrf攻击,但是很多情况下,出于用户体验考虑,验证码只能作为一种辅助手段,而不是最主要的解决方案。
4、referer识别。在http header中有一个字段referer,它记录了http请求的来源地址。如果referer是其他网站,就有可能是csrf攻击,则拒绝该请求。但是,服务器并非都能取到referer。很多用户出于隐私保护的考虑,限制了referer的发送。在某些情况下,浏览器也不会发送referer,例如https跳转到http。
以上就是什么是csrf攻击?该如何防范?的详细内容。