csrf攻击原理及防范

薄洪涛7年前PHP1790
CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。

在不少的php框架中都有防csrf攻击的方法,比如yii2.0,建议在开发的时候尽量不要全局关闭。

你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。

CSRF能够做的事情包括:以你名义发送邮件,转账,付款

攻击原理图:

clipboard.png

一次攻击的两个步骤:
      1.登录受信任网站A,并在本地生成Cookie。
2.在不登出A的情况下,访问危险网站B。
譬如某网站A的关键操作是www.test.com?a=1
假如你登陆了A网站,没退出,又登陆了B网站,B网站中恰好有这么一段代码
<img src = www.test.com?a=1>

那就直接执行了A网站的关键操作

上诉我们描述了get请求时的csrf攻击,即使不是get提交,我们也可以用js或者其他工具模拟请求方式

防御:
CSRF的防御一般都在服务器端进行验证,常用的防御措施如下:
1.Cookie Hashing(表单都要包含一串Hash值做验证):表单中加一个隐藏值,提交表单在服务器端验证;

2.每次关键提交操作,加一个验证码或者其他验证手段(比如app端二次验证),但是不是很友好;

3.通过用户传递的token,referer来检测

4.严格设置cookies域(避免全站通用)


标签: csrf攻击

相关文章

Elasticsearch按照日期聚合

Elasticsearch按照日期聚合

我们现在做的是医疗的业务,有个需求是这样的,查询出某位医生前七天的坐诊记录,并且,医生的坐诊记录是不连续的,这样就需要写一个dsl语句来实现es库的搜索首先我使用了es库中的聚合功能,按照日期去聚合,...

php程序是如何被解析的?

php程序是如何被解析的?

我们每天都在写php代码,然后往服务器上一丢,你就发现php文件就运行了,嘿,是不是很神奇,但是有没有想过,php是如何被解释执行的呢?要知道apache,nginx都是不能解析.php文件的;所以想...

Yii2.0 文件队列的使用

最近做了一个文件上传+处理的功能,需求是这样的,上传并读取.doc文件,并解析里面的内容入库读取文件并入库是使用python处理的,每个文件大约需要处理5-6秒,上传是使用的Yii2,我这里的思路是把...

php redis Hash操作

//为user表中的字段赋值。成功返回1,失败返回0。若user表不存在会先创建表再赋值,若字段已存在会覆盖旧值。 $redis->hSet('user', ...

跨域的其他方式

上次向大家介绍了跨域的解决方式jsonp,总感觉差点什么,所以,补充一下,介绍另外一种跨域方式:比如说,公司内部系统之间,比如ERP和OA之间想要进行数据交互,但是每个系统都有自己的域名,如果想实现数...

YII2独立开发遇到的坑

    之前开发的时候,遇到图片上传什么的都是直接用前辈们配好的插件等等,换了家公司以后,要自己独立开发项目,顿时遇到了问题,开始是项目的配置,然后在添加的时候遇到了图片上传的问题...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。