csrf(cross-site request forgery)跨站請求偽造,也被稱為「one click attack」或者session riding,通常縮寫為csrf或者xsrf,是一種對**的惡意利用
原理:當使用者a登入某個w**之後,獲取到w**授權,之後只要使用者a再次登入到該w**都無需再次登入,而是攜帶w**給他的授權碼sessionid,該授權碼儲存在cookie中。此時,使用者a訪問了惡意**b,b控制了a的一些操作,向w**發起請求,這種不是由使用者a控制的請求稱之為跨站偽造請求。
防禦:1. 盡量使用post,限制get
get介面太容易被拿來做csrf攻擊,看第乙個示例就知道,只要構造乙個img標籤,而img標籤又是不能過濾的資料。介面最好限制為post使用,get則無效,降低攻擊風險。
當然post並不是萬無一失,攻擊者只要構造乙個form就可以,但需要在第三方頁面做,這樣就增加暴露的可能性。
2. 加驗證碼
驗證碼,強制使用者必須與應用進行互動,才能完成最終請求。在通常情況下,驗證碼能很好遏制csrf攻擊。但是出於使用者體驗考慮,**不能給所有的操作都加上驗證碼。因此驗證碼只能作為一種輔助手段,不能作為主要解決方案。
3. anti csrf token
現在業界對csrf的防禦,一致的做法是使用乙個token(anti csrf token)。
例子:1. 使用者訪問某個表單頁面。
2. 服務端生成乙個token,放在使用者的session中。
3. 在頁面表單附帶上token引數。
4. 使用者提交請求後, 服務端驗證表單中的token是否與使用者session(或cookies)中的token一致,一致為合法請求,不是則非法請求。
這個token的值必須是隨機的,不可**的。由於token的存在,攻擊者無法再構造乙個帶有合法token的請求實施csrf攻擊。另外使用token時應注意token的保密性,盡量把敏感操作由get改為post,以form或ajax形式提交,避免token洩露。
注意:csrf的token僅僅用於對抗csrf攻擊。當**同時存在xss漏洞時候,那這個方案也是空談。所以xss帶來的問題,應該使用xss的防禦方案予以解決。
mysql 網際網路 MySQL網際網路業務使用建議
一 基礎規範 表儲存引擎必須使用innodb 表字符集預設使用utf8,必要時候使用utf8mb4 解讀 1 通用,無亂碼風險,漢字3位元組,英文1位元組 2 utf8mb4是utf8的超集,有儲存4位元組例如表情符號時,使用它 禁止使用儲存過程,檢視,觸發器,event 解讀 1 對資料庫效能影響...
網際網路與網際網路的區別
網際網路的英文單詞是 internet,網際網路的英文單詞是 internet。在英語中,專有名詞首字母都是大寫,用於特指某一事物。大寫的 internet 是作為乙個專有名詞出現的,所指的是由阿帕網發展而來的現如今全球最大的計算機網路,稱之為網際網路。小寫 internet 是作為乙個普通單詞出現...
網際網路之父Vint Cerf 網際網路的下乙個十年
據國外 報道,谷歌在自己的官方部落格上發表了對網際網路未來發展的觀點。在採訪了10位頂級電腦專家後,google首席網際網路顧問 有網際網路之父美譽的 vint cerf發表文章認為,10年來網際網路的發展對人們的生活產生了巨大影響,改變了政治 娛樂 文化 商業 醫療 環境和所有能想到的東西。未來網...