CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,
通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,
并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,
所以被认为比XSS更具危险性。
1.CSRF get
2.CSRF post
1. CSRF 防范:
1.验证码
用户体验不好
2. refer 头
有些请求不带 refere 头
3. 随机防伪标识
服务器在处理请求时,会返回一串防伪标识。
客户端把防伪标识 放在表单,再把这个标示在请求中发送给服务器。
服务器进行验证。
2. YII CSRF 防范:
public function actionTest2()
{
if (\Yii::$app->request->isPost) {
$title = \Yii::$app->request->post('title');
echo $title;
} else {
$csrf = \Yii::$app->request->csrfToken;
return $this->renderPartial('test2', ['csrf' => $csrf]);
}
}
<form action="" method="post">
<input type="text" name="title" value="hello,world"/>
<input type="hidden" name="_csrf" value="<?php echo $csrf; ?>">
<input type="submit" value="提交"/>
</form>
过程:
csrf 一般放在 session, 但这个问题是服务器内存会越来越多。
yii 会在 浏览器 放一份 经过加密的 csrf, 请求时发送给服务器,并与form 表单中的csrf 对比,相同也会通过验证