文章目录
一、什么是CSRF
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一,攻击方通过伪造用户请求访问受信任站点。
通常的CSRF攻击方式如下:
你登录了网站A,攻击者向你的网站A账户发送留言、伪造嵌入页面,带有危险操作链接。
当你在登录状态下点击了攻击者的连接,因此该链接对你网站A的账户进行了操作。
这个操作是你在网站A中主动发出的,并且也是针对网站A的HTTP链接请求,同源策略无法限制该请求。
1. 如何防御CSRF攻击
SpringSecurity框架下实现CSRF跨站攻击防御
参考URL: https://www.imooc.com/article/297348
-
为系统中的每一个连接请求加上一个token,这个token是随机的,服务端对该token进行验证。破坏者在留言或者伪造嵌入页面的时候,无法预先判断CSRF token的值是什么,所以当服务端校验CSRF token的时候也就无法通过。所以这种方法在一定程度上是靠谱的。
-
但是如果你的电脑中毒,网络信息被劫持使用token的方法仍然不安全。所以没有绝对的安全,道高一次魔高一丈。作为开发者