如何防止跨站点伪造(Prevent Cross-Site Forgery)?

跨站点伪造(XSRF或CSRF)也称为跨站点请求伪造、会话骑乘和一键式攻击等多种名称,是一种难以防止的网站攻击类型。它通过诱使web浏览器向远程服务器发送未经授权的命令来进行操作。跨站点伪造攻击仅对以下用户有效:使用真...
跨站点伪造(XSRF或CSRF)也称为跨站点请求伪造、会话骑乘和一键式攻击等多种名称,是一种难以防止的网站攻击类型。它通过诱使web浏览器向远程服务器发送未经授权的命令来进行操作。跨站点伪造攻击仅对以下用户有效:使用真实的凭据登录网站;因此,注销网站是一种简单而有效的预防措施。Web开发人员可以使用随机生成的令牌来帮助防止此类攻击,但是应该避免检查推荐者或依赖cookies。手持计算机的人通常会利用跨站点伪造漏洞,以web浏览器为目标进行所谓的“混淆副手攻击”。浏览器认为是代表用户行事,却被欺骗向远程服务器发送未经授权的命令。这些命令可能隐藏在网页标记代码中看似无害的部分,这意味着试图下载图像文件的浏览器实际上可能正在向银行、在线零售商或社交网站发送命令。一些浏览器现在包括了旨在防止跨站点伪造攻击的措施,第三方程序员已经创建了缺乏这些措施的扩展或插件。在首选客户端中关闭超文本标记语言(HTML)电子邮件也是一个好主意,因为这些程序也容易受到跨站点伪造攻击。因为跨站点伪造攻击依赖于合法登录的用户考虑到这一点,防止此类攻击的最简单方法之一就是简单地注销您已使用完的网站。许多处理敏感数据的网站,包括银行和经纪公司,在一段时间不活动后会自动执行此操作。其他网站则采取相反的方法,允许用户持续登录数天或数周虽然您可能会觉得这很方便,但它确实会使您受到CSRF攻击。请查找“在此计算机上记住我”或“让我登录”选项并将其禁用,并确保在完成会话后单击“注销”链接。对于web开发人员,消除跨站点伪造漏洞是一项特别具有挑战性的任务。检查引用者和cookie信息并不能提供太多保护,因为CSRF利用合法的用户凭据,而且这些信息很容易被欺骗。更好的方法是每次随机生成一个一次性令牌用户登录,并要求用户发送的任何请求都包含令牌。对于购买或资金转账等重要请求,要求用户重新输入用户名和密码有助于确保请求的真实性
  • 发表于 2020-08-07 16:32
  • 阅读 ( 947 )
  • 分类:电脑网络

你可能感兴趣的文章

相关问题

0 条评论

请先 登录 后评论
admin
admin

0 篇文章

作家榜 »

  1. xiaonan123 189 文章
  2. 汤依妹儿 97 文章
  3. luogf229 46 文章
  4. jy02406749 45 文章
  5. 小凡 34 文章
  6. Daisy萌 32 文章
  7. 我的QQ3117863681 24 文章
  8. 华志健 23 文章

推荐文章

联系我们:uytrv@hotmail.com 问答工具