WEB怎么防御CSRF攻击

本篇内容主要讲解“WEB怎么防御CSRF攻击”，感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷，实用性强。下面就让小编来带大家学习“WEB怎么防御CSRF攻击”吧!

创新互联是专业的仙居网站建设公司，仙居接单;提供网站设计制作、成都网站建设,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行仙居网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!

概念

CSRF全称即Cross Site Request forgery，跨站点请求伪造，攻击者通过跨站点进行伪造用户的请求进行合法的非法操作，其攻击手法是通过窃取用户cookie或服务器session获取用户身份，在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。

防御手段

既然是跨站点攻击，所以防御的手段无非是识别请求的来源是否合法。

防御的手段一般有：

1、检查referer

referer是http header的请求头属性，标识了请求的来源地址，通过检查这个属性可以判断请求地址是否合法域名。很多网站的防盗链功能就是这么做的，如果不是本站的域名请求就拒绝其链接，或者返回一个不允许在外站显示的公共图片。

2、检查表单token

在跳转到每个表单时，每次都随机生成一个不固定的token值用于回传验证，所以如果是用户正常提交的话肯定会包含这个值，而这个值不存在cookie中攻击者拿不到这个值，自然提交的请求是不合法的。如果不使用cookie的前提下也可以设置cookie为httpOnly禁止脚本获取到cookie信息。

3、检查验证码

使用验证码，简单粗暴，判断请求的验证码是否但用户体检会非常差，用户不希望所有的操作都要输入验证码，所以，不是非常重要的环节建议不要使用验证码。

到此，相信大家对“WEB怎么防御CSRF攻击”有了更深的了解，不妨来实际操作一番吧！这里是创新互联网站，更多相关内容可以进入相关频道进行查询，关注我们，继续学习！