登录受信任网站A,并在本地生成Cookie。
在不登出A的情况下,访问危险网站B。
5、防御:
1、验证码
2、在请求地址中添加 token 并验证
3、在 HTTP 头中自定义属性并验证
4、验证 HTTP Referer 字段
总结:
CSRF攻击是攻击者利用用户的身份操作用户账户的一种攻击方式。设计CSRF的防御方案必须先理解CSRF攻击的原理和本质。我们通常使用Anti CSRF Token来防御CSRF攻击,在使用Token时,要注意Token的保密性和随机性。
登录受信任网站A,并在本地生成Cookie。
在不登出A的情况下,访问危险网站B。
5、防御:
1、验证码
2、在请求地址中添加 token 并验证
3、在 HTTP 头中自定义属性并验证
4、验证 HTTP Referer 字段
总结:
CSRF攻击是攻击者利用用户的身份操作用户账户的一种攻击方式。设计CSRF的防御方案必须先理解CSRF攻击的原理和本质。我们通常使用Anti CSRF Token来防御CSRF攻击,在使用Token时,要注意Token的保密性和随机性。
