CSRF防御:
1.验证HTTP Referer 字段:
根据http协议,在http头中有一个字段叫做Referer,它记录了该http请求的来源地址。
优点:简单易行,网站的普通开发人员不需要担心CSRF的漏洞,只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查Referer的值就可以。
缺点:①每个浏览器对于Referer的具体实现可能有差别,并不能保证浏览器自身没有漏洞。对于某些老浏览器,目前已经有一些方法可以篡改Referer值。②Referer值会记录下用户的访问来源,用户可以设置浏览器发送请求时不再提供Referer。当正常访问时会因为没有Referer值而认为是CSRF攻击,拒绝合法用户的访问。
2.在请求地址中添加token并验证:
在请求中加入一个随机产生的token,并在服务端建立一个拦截器来验证这个token,如果请求中没有token或不正确,则拒绝该请求
优点:get方式的请求,token将附在请求地址之后,URL变成http://url?csrftoken=tokenvalue。而post方式的请求,要在form的最后加上,这样就把token以参数的形式加入请求了。
缺点:①每次的请求后加token,对于dom中所有的a和form标签加入token,但是对于在页面加载之后动态生成的html代码,这种方法就没有作用,还需要程序员在编码时手动添加token。②难以保证token本身的安全。黑客在一些支持用户自己发表内容的网站上,发表自己个人网站的地址。由于系统也会在这个地址后面加上token,黑客可以在自己的网站上得到这个token,并马上就可以发动CSRF攻击
3.在HTTP头中自定义属性并验证:
这种方法也是使用token并进行验证,和上一种方法不同的是,这里并不是把token以参数的形式置于http请求中,二是吧它放到http头中自定义的属性里,通过XMLHttpRequest这个类,可以一次性给所有该类请求加上csrftoken这个http头属性,并把token值放入其中。
CSRF防御
最新推荐文章于 2024-05-27 22:28:55 发布