CSRF 攻击

 

 

 

csrf 攻击的预防:

1.敏感操作api尽量不使用get请求,原因:容易伪造

2.验证码二次验证,用户发送请求时,要求短信验证码验证,确保是人为操作

3.检查refer,浏览器发送请求到服务端的时候,会带上refer 字段(请求来自哪个url),如果refer传过来的domain和当前网站不同,那么可以拒绝。

4.最常用的方案,每次请求server都会返回一个随机的csrf-token(每次页面刷新都会变),客户端请求时要把这个token带上。 java sprint-security里面默认会把csrf功能打开,因此如果没有带csrf去请求的话会被拒绝

非常好的解释: https://www.youtube.com/watch?v=gEPii2y3ISQ

posted @   xiaoyongyong  阅读(33)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 周边上新:园子的第一款马克杯温暖上架
· 分享 3 个 .NET 开源的文件压缩处理库,助力快速实现文件压缩解压功能!
· Ollama——大语言模型本地部署的极速利器
· DeepSeek如何颠覆传统软件测试?测试工程师会被淘汰吗?
· 使用C#创建一个MCP客户端
点击右上角即可分享
微信分享提示