CSRF(Cross-site request forgery,跨站请求伪造)
它是指攻击者利用了用户的身份信息,执行了用户非本意的操作
防御手段 | 防御力 | 问题 |
---|---|---|
不使用cookie | ⭐️⭐️⭐️⭐️⭐️ | 兼容性略差 ssr会遇到困难,但可解决 |
使用sameSite | ⭐️⭐️⭐️⭐️ | 兼容性差 容易挡住自己人 |
使用csrf token | ⭐️⭐️⭐️⭐️⭐️ | 获取到token后未进行操作仍然会被攻击 |
使用referer防护 | ⭐️⭐️ | 过去很常用,现在已经发现漏洞 |
介绍 csrf 攻击
CSRF 是跨站请求伪造,是一种挟制用户在当前已登录的Web应用上执行非本意的操作的攻击方法
它首先引导用户访问一个危险网站,当用户访问网站后,网站会发送请求到被攻击的站点,这次请求会携带用户的cookie发送,因此就利用了用户的身份信息完成攻击
防御 CSRF 攻击有多种手段:
- 不使用cookie
- 为表单添加校验的 token 校验
- cookie中使用sameSite字段
- 服务器检查 referer 字段