CSRF攻击究竟是什么?如何有效防范?网络安全武器有哪些?
- 内容介绍
- 文章标签
- 相关推荐
说实话,CSRF攻击这玩意儿,你不了解它还真不行。
差点意思。 想象一下你正吃着炸鸡,突然收到银行短信:“您已成功转账10000元”。这就尴尬了你根本没干这事儿。
什么是CSRF攻击
CSRF, 全称Cross-Site Request Forgery,中文叫跨站请求伪造,我好了。。
简单就是黑客借用了你已经登录的网站身份,让你在不知情的情况下帮他干坏事。
危害可以说是从轻微到严重, 各种层面都有
比如金融类网站,一键转账、提现都可能被劫持。
A用户登录微博后被迫发一条广告贴;B用户登录论坛后被迫改签名。
看起来不严重,但长期下来会关系到品牌形象,也算是一种间接损失。
如何有效防范CSRF攻击?
市面上很多WAF都内置了CSRF检测规则, 比如检测异常Referer、缺失Token等情况。
1. 验证HTTP Referer字段
服务器在收到POST/PUT等敏感请求时检 出岔子。 查HTTP Referer是不是来自本域名。
如果不是就直接返回403,简单粗暴。
但有些浏览器或代理会屏蔽Referer,导致误杀,所以需要配合其他手段使用。
2. 添加Token验证
原理:服务器为每个表单生成一个独一无二的随机字符串, 并存放在session或缓存里; 绝绝子! 提交时必须携带相同的Token,否则拒绝。
实现方式:在表单里加个隐藏字段
注意:Token必须一次性用, 且长度至少16字节以上,否则容易被猜测。
说实话,CSRF攻击这玩意儿,你不了解它还真不行。
差点意思。 想象一下你正吃着炸鸡,突然收到银行短信:“您已成功转账10000元”。这就尴尬了你根本没干这事儿。
什么是CSRF攻击
CSRF, 全称Cross-Site Request Forgery,中文叫跨站请求伪造,我好了。。
简单就是黑客借用了你已经登录的网站身份,让你在不知情的情况下帮他干坏事。
危害可以说是从轻微到严重, 各种层面都有
比如金融类网站,一键转账、提现都可能被劫持。
A用户登录微博后被迫发一条广告贴;B用户登录论坛后被迫改签名。
看起来不严重,但长期下来会关系到品牌形象,也算是一种间接损失。
如何有效防范CSRF攻击?
市面上很多WAF都内置了CSRF检测规则, 比如检测异常Referer、缺失Token等情况。
1. 验证HTTP Referer字段
服务器在收到POST/PUT等敏感请求时检 出岔子。 查HTTP Referer是不是来自本域名。
如果不是就直接返回403,简单粗暴。
但有些浏览器或代理会屏蔽Referer,导致误杀,所以需要配合其他手段使用。
2. 添加Token验证
原理:服务器为每个表单生成一个独一无二的随机字符串, 并存放在session或缓存里; 绝绝子! 提交时必须携带相同的Token,否则拒绝。
实现方式:在表单里加个隐藏字段
注意:Token必须一次性用, 且长度至少16字节以上,否则容易被猜测。