CSRF 攻击

 

 

 

csrf 攻击的预防：

1.敏感操作api尽量不使用get请求，原因：容易伪造

2.验证码二次验证，用户发送请求时，要求短信验证码验证，确保是人为操作

3.检查refer，浏览器发送请求到服务端的时候，会带上refer 字段（请求来自哪个url），如果refer传过来的domain和当前网站不同，那么可以拒绝。

4.最常用的方案，每次请求server都会返回一个随机的csrf-token（每次页面刷新都会变），客户端请求时要把这个token带上。 java sprint-security里面默认会把csrf功能打开，因此如果没有带csrf去请求的话会被拒绝

非常好的解释： https://www.youtube.com/watch?v=gEPii2y3ISQ