网络安全网格架构(CSMA) 网络安全框架csf

CSRF:Cross Site Request Forgy(跨站请求伪造)

用户打开另外一个网站,可以对本网站进行操作或攻击。容易产生传播蠕虫。

CSRF攻击原理:

1、用户先登录A网站

2、A网站确认身份返回用户信息

3、B网站冒充用户信息而不是直接获取用户信息,从B网站页面向A网站发起请求(携带A网站身份)

CSRF危害:

利用用户登录态

用户不知情

完成业务请求

盗取用户资金

冒充用户发帖

损坏网站名誉等等

如何防御CSRF:

原理步骤3具体细节:

  (1)B网站向A网站请求

  (2)带A网站Cookies

  (3)不访问A网站前端

  (4)referer为B网站

通过这些细节特征我们可以制定以下防御策略:

1、禁止第三方网站带Cookies,cookies中新增了same-site属性可禁止,缺点是浏览器兼容性。

2、在A网站前端加入验证信息,只有访问A网站获得验证信息才能正确发送请求。如验证码,token。

token防御的关键是cookies和表单或者页面中都要存储token值,cookie的值和页面的值需要做比对。

初级做法有个弊端,只有最后一个页签的token可以使用,前面打开的页签token会失效。

解决token失效问题可以给token设置有效时长存储多个token,过期token提示用户刷新页面从而获取新token。

3、验证referer,禁止来自第三方网站的请求。验证时需要代码严格验证,不然可以使用带参数来绕过非严格验证的判断。

放弃安逸,持续努力------成长

相关推荐
tntxia16 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31115 天前
VPN 与内网穿透
安全
Mr_愚人派16 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao16 天前
【无标题】
人工智能·安全
Alsn8616 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
网络研究院16 天前
2026年网络安全
网络·安全·法律·法规·趋势·发展