重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
这篇文章主要介绍“csrf攻击的原理是什么”,在日常操作中,相信很多人在csrf攻击的原理是什么问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”csrf攻击的原理是什么”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
成都创新互联企业建站,10余年网站建设经验,专注于网站建设技术,精于网页设计,有多年建站和网站代运营经验,设计师为客户打造网络企业风格,提供周到的建站售前咨询和贴心的售后服务。对于成都网站设计、成都做网站中不同领域进行深入了解和探索,创新互联在网站建设中充分了解客户行业的需求,以灵动的思维在网页中充分展现,通过对客户行业精准市场调研,为客户提供的解决方案。
1 csrf攻击的原理是什么? 当你取得A网站的信任后,访问B网站,在B网站含有伪装的访问A请求,这样你就带着A网站的cookie,去访问A的后台。
2 跨域不能访问cookie,为什么在B网站能携带A网站的cookie。可以把图片的crc属性编辑成一条访问A网站的请求。由于你访问的是A网站,携带A网站的cookie是理所应当的。
3 如何防范?http的请求头有个reffer属性,代表了请求的来源,就是从哪个网站发起的请求。后台校验请求是否来自A网站,如果不是则拦截请求。绝大多数的情况下是可行的,不过某些旧浏览器,如早版本的ie,据说可以修改reffer,有些其他技术貌似也可以修改新的浏览器。
4 另一种方式是token验证。在登录成功后,服务端生成一个随机token给浏览器。浏览器在提交表单的时候携带token,后台校验token与给浏览器的是否相同,如果不一样则拦截。
5 注意的是,这个token不能存储到cookie中,因为csrf攻击就是骗取你的cookie,放在cookie中工作就白费了。想到的方法是存到js的全局变量中。
到此,关于“csrf攻击的原理是什么”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注创新互联网站,小编会继续努力为大家带来更多实用的文章!