系统安全扫描扫出了:可能存在 CSRF 攻击怎么办

公司的H5在软件安全测试中被检查出可能存在 CSRF 攻击,网上找了一堆解决方法,最后用这种方式解决了。

1、问题描述

CSRF 是 Cross Site Request Forgery的缩写(也缩写为也就是在用户会话下对某个 CGI 做一些 GET/POST 的事,RIVTSTCNNARGO一这些事情用户未必知道和愿意做,你可以把它想做 HTTP 会话劫持。

解决方案:建议做如下安全加固: 在 Web 应用程序侧防御 CSRF 漏洞,一般都是利用referer、token 或者验证码。

2、问题现象

实际上我们查看这个问题也就发现系统存在使用post方式 使用referer参数请求腾讯网这个网址会出现不安全的问题。

3、解决方案

直接从nginx上面考虑,直接禁掉referer这个参数请求,在nginx.conf中添加下面参数:

javascript 复制代码
valid_referers none blocked server_names;
if ($invalid_referer) {
   return          403;
}

//这里要注意的是:if后面必须有空格,要不然会导致你的nginx起不来。

相关推荐
晴殇i5 分钟前
前端内容保护:如何有效防止用户复制页面内容?
前端·javascript·css
程序猿阿伟9 分钟前
《声音的变形记:Web Audio API的实时特效法则》
开发语言·前端·php
凌览12 分钟前
有了 25k Star 的MediaCrawler爬虫库加持,三分钟搞定某红书、某音等平台爬取!
前端·后端·python
万少14 分钟前
2-自然壁纸实战教程-AGC 新建项目
前端·harmonyos
满分观察网友z26 分钟前
别小看这个滑动条!从性能灾难到用户挚爱的 uni-app Slider 踩坑实录
前端
满分观察网友z28 分钟前
别再裸写<textarea>了!一个“小”功能,我用上了它几乎所有API
前端
西西木科技丨Shopify开发机构34 分钟前
如何在 Shopify 中建立重定向
前端·html
汪子熙41 分钟前
深入探析 header facets:定位与应用
前端·javascript
你听得到1142 分钟前
从需求到封装:手把手带你打造一个高复用、可定制的Flutter日期选择器
前端·flutter
江城开朗的豌豆1 小时前
Vue Router vs location.href:导航跳转的正确姿势,你选对了吗?
前端·javascript·vue.js