CSRF(跨站请求伪造)是一种网络攻击方式,通过伪装成用户发起恶意请求。攻击者利用用户的已登录状态执行非用户意愿的操作。JWT(JSON Web Token)现被用于防御CSRF,通过在请求中携带不可伪造的token来验证请求合法性,提高安全性。服务器端设置拦截器检查token,若缺失或不正确则拒绝请求。
CSRF/XSRF
CSRF意思是跨站请求伪造。就是通过伪造用户请求对服务器进行攻击,是一种对网站的恶意利用。
简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,甚至财产操作(如转账和购买商品)等)。
早期的网站用户和服务器的通信,是使用cookie进行认证的。攻击者可以通过完全伪造用户的请求,因为请求中所有的用户验证信息都是存在于cookie中的。
所以现在为抵御这一攻击,就是要让认证信息部分是无法被伪造,同时用户的关键信息(如密码等)是不能够被直接查看到的(一般是进行加密)。
现在采用的是JWT的方式(JSON Web Token)进行验证。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于session之中,然后在每次请求时把token 从 session 中拿出,与请求中的 token 进行比对
扫一扫
650
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
