CSRF(跨站请求伪造):
利用方法:
CSRF 攻击是通过伪造用户的请求,利用用户在其他网站上的已登录状态执行未经授权的操作。攻击者可以通过这种方式执行任何需要身份验证的操作。
示例:
htmlCopy code <img src="http://victim.com/transfer?amount=1000000&to=attacker" />
解决方案:
-
使用随机生成的 CSRF 令牌,并将其嵌入到表单或请求中。
-
检查请求中的 Referer 头,确保请求是从正确的来源发起的。
-
使用 SameSite 属性来限制第三方网站对 cookie 的访问。