CSRF,意为跨站请求伪造(Cross-Site Request Forgery)
我们知道,现有的网站一般都会要求你进行登录来验证你的身份,
验证之后,服务器再根据你的身份信息来向你展示与你相关的信息,但是一般网站只需要登录一次,之后在属于这个网站的范围内进行操作的时候便不需要再次输入账号密码,这是如何做到的呢
我们需要知道一个叫做cookie的东西,
它是由服务器产生的一个专属于你的随机值,各个网站会有不同。它能够让你不用多次重复输入账号密码,取而代之的是验证成功你的身份之后就发送给你一个值,这个值就代表了你,在后续进行网站的访问时,会自动带上cookie进行访问,服务器收到cookie就知道是你,不需要再次进行检查。
cookie对于提升用户体验很有裨益。
不过在一些不法分子的手中,它也同样好用,由于浏览器具有自动发送cookie给网站的特性,黑客就可以利用这点,伪造身份,假装是你。黑客可以发送一个HTML文件给你,并且可以在文件中附上能够修改操作的内容,配合脚本,就可以进行一些你不一定希望看到的操作。
黑客想要达成这种目的,
往往会创建一个看似正常的网站,并在其中包含一些恶意的代码,在你兴致勃勃点击进去之后,在不知不觉中就利用浏览器自动发送包含cookie的请求,服务器一看“我去,自己人啊这是”,就执行了黑客附在其中的恶意操作。这一系列的流程,用到了黑客的网站与正常的网站。所以我们就叫它跨站请求伪造(cross size request forgery)
当然,我们也有很多方法来应对这些不法分子,例如
- 使用防CSRF令牌(随机令牌,进行验证token)
- 验证HTTP Referer头部(检查界面是不是从原本的界面发起的)
- 使用SameSite Cookie属性(cookie的一个属性)
-
双重验证(比如转钱之类的操作需要让你再次验证一下)
-
使用CSP(内容安全策略)限制域名
-
用户教育(让用户别乱点不认识不熟悉的网站)
扫一扫
559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
