怎么建立防范CSRF(Cross Site Request Forgery)攻击的机制?

文心雕码 发布于 2016/09/25 22:06
阅读 437
收藏 1

我需要给网站增加防范CSRF(Cross Site Request Forgery)攻击的机制,我了解了一下CSRF的原理,但是在Java/Javascript中是怎么实现的呢?

前台需要做什么?后台需要做什么?有没有比较好的例程可以参考的?

加载中
0
eechen
eechen
A站对B站进行CSRF攻击,就是A站上放一个B站的链接或表单,诱导用户点击,从而伪造一个B站的请求.如果B站处理这个请求的操作没有进行CSRF防御,这个操作就能够顺利执行.

防御CSRF的原理很简单,就是给操作加上一个随机值,这里把它叫做csrf_token.验证时就是拿POST/GET请求里的csrf_token,跟cookie里的csrf_token对比,一致则通过验证,执行操作.因为A站拿不到B站cookie里的csrf_token,自然也就无法伪造出合法的请求.
0
开心613
开心613
这个不是什么技术了,现在对这类的攻击都很完善了,说实话。
OSC首席键客
OSC首席键客
就怕有漏洞啊!有些东西你可能就没想到,就被比别人利用了。
0
OSC首席键客
OSC首席键客
cookie加密,cookie http only,验证来源。
0
猫神
猫神
request.getHeader  获取头信息,如果头信息地址不是自己指定的,就是非法
返回顶部
顶部