CSRF 跨站请求伪造
CSRF攻击: 攻击者盗用了你的身份,以你的 名义发送恶意请求,比如盗取你的账号,假发消息等,个人隐私泄露以及财产安全
CSRF 攻击原理:
-
登录受信任网站A,并在本地生成 Cookie. 在不登录A的情况下,访问危险网站B
-
比如,你登录了银行网站A,然后访问危险的网站B,这时你的银行账户的资金全没了。原因,在访问危险网站B之前,你已经登录了银行网站A,网站B会通过 GET/POST的方式请求银行网站A,你的浏览器会带上你的银行网站A的cookie 发出GET亲贵,去获取你的资金
-
CSRF 的防御:
-
在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求
-
尽量使用 POST 访问,少用 GET 访问, GET接口容易被拿来做CSTF攻击,只要构造一个 img标签,
-
加验证码,强制用户必须与应用进行交互,才能完成最终请求,但是用户体验感不好,网站不能给所有的操作加上验证码