csrf攻击原理及防范

薄洪涛7年前PHP1767
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

在不少的php框架中都有防csrf攻击的方法,比如yii2.0,建议在开发的时候尽量不要全局关闭。

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。

CSRF能够做的事情包括:以你名义发送邮件,转账,付款

攻击原理图:

clipboard.png

一次攻击的两个步骤:
      1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
譬如某网站A的关键操作是www.test.com?a=1
假如你登陆了A网站,没退出,又登陆了B网站,B网站中恰好有这么一段代码
<img src = www.test.com?a=1>

那就直接执行了A网站的关键操作

上诉我们描述了get请求时的csrf攻击,即使不是get提交,我们也可以用js或者其他工具模拟请求方式

防御:
CSRF的防御一般都在服务器端进行验证,常用的防御措施如下:
1.Cookie Hashing(表单都要包含一串Hash值做验证):表单中加一个隐藏值,提交表单在服务器端验证;

2.每次关键提交操作,加一个验证码或者其他验证手段(比如app端二次验证),但是不是很友好;

3.通过用户传递的token,referer来检测

4.严格设置cookies域(避免全站通用)


标签: csrf攻击

相关文章

Yii2.0 文件队列的使用

最近做了一个文件上传+处理的功能,需求是这样的,上传并读取.doc文件,并解析里面的内容入库读取文件并入库是使用python处理的,每个文件大约需要处理5-6秒,上传是使用的Yii2,我这里的思路是把...

PostgreSQL教程之安装连接

PostgreSQL教程之安装连接

新公司需要用PostgreSQL数据库,而且网上的资料比较少,先自己整理一下;一、PostgreSQL是什么?PostgreSQL是一个功能强大的开源对象关系数据库管理系统(ORDBMS)。 用于安全...

php用curl模拟post请求接口的坑

php用curl模拟post请求接口的坑

我们的接口是用java实现的,然后我需要用php去调用下接口,请求方式为post,需要传一个数组过去(不是json_encode的那种),之前的时候,是这么写的$post_params =&...

Yii2.0认证及限流

Yii2.0认证及限流

上次搭建了Yii2.0的接口框架后,现在开始搭建认证和限流模块,先说下这两个模块的作用认证:前后端分离,每次请求都是无状态的,及每一次请求服务器不知道你是谁,你有没有登陆;我们就需要做一个认证模块去识...

Yii2.0整合ueditor并上传图片到七牛云

Yii2.0整合ueditor并上传图片到七牛云

某个项目要做一个文章模块,用到Ueditor,并且ue中的图片要上传到七牛,所以总结下步骤;1、Yii2.0下载ueditor for Yii2.0和七牛composer require&n...

YII2独立开发遇到的坑

    之前开发的时候,遇到图片上传什么的都是直接用前辈们配好的插件等等,换了家公司以后,要自己独立开发项目,顿时遇到了问题,开始是项目的配置,然后在添加的时候遇到了图片上传的问题...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。