Artículo anterior a entender acerca de la diferencia entre CSRF y XSS, a continuación, esta vez echar un vistazo a cómo evitar que CSRF
En primer lugar, desde el último artículo podemos ver, los ataques CSRF tiene un límite, y podemos usar esto para limitarlo a no relacionada con la prevención
Método 1: back-end de verificación de interfaz de solicitud de URL en el momento de recibir la solicitud, que es referer, porque los ataques CSRF es el uso de un usuario en otro sitio
sesión no vencido o solicitud de simulación galleta, entonces podemos comprobar en la aceptación de la petición de procesamiento no está en nuestra propia
Sitio inició petición, si no despedidos no puede ejecutar
Método 2: Utilizar el éxito de la razón, de ataque CSRF se debe a que los piratas informáticos pueden forjar su totalidad la solicitud del usuario, la totalidad de la solicitud de autenticación de usuario
La información está presente en una cookie, por lo que los hackers pueden utilizar directamente la galleta en el usuario de cuenta sin conocer la información de autenticación a una autenticación segura.
Para resistir CSRF, en el que la información clave en los hackers no se puede forjar en la solicitud, y la información no está presente en la cookie. Podrá solicitar HTTP
Adición de un contador generado aleatoriamente como un parámetro, y para establecer un lado del servidor interceptor para autenticar el token, hay un token si la petición
O contenido token no es correcta, entonces eso podría ser un ataque CSRF y rechazar la solicitud.
Método dos se puede referir a la autenticación de JWT: https://www.cnblogs.com/junyi-bk/p/12468272.html
Artículo de referencia: https://www.cnblogs.com/lsj-info/p/9479755.html