CSRF/XSRF（Cross-Site Request Forgery），即跨站請(qǐng)求偽造，也被稱為“One Click Attack”或者Session Riding。基本原理是通過(guò)偽裝來(lái)自受信任用戶的請(qǐng)求來(lái)利用受信任的網(wǎng)站。

×××原理：
如圖所示，用戶首先訪問(wèn)網(wǎng)站A，通過(guò)登錄身份驗(yàn)證成功，網(wǎng)站A下發(fā)cookie保存在用戶的瀏覽器中。用戶又去訪問(wèn)了網(wǎng)站B，網(wǎng)站B在下發(fā)用戶頁(yè)面的時(shí)候會(huì)有一個(gè)引誘點(diǎn)擊，這個(gè)引誘點(diǎn)擊一般是一個(gè)鏈接，這個(gè)鏈接一般指向網(wǎng)站A的一個(gè)存在漏洞的API接口，尤其這個(gè)API接口是GET類型。當(dāng)用戶禁不住誘惑點(diǎn)擊了這個(gè)引誘點(diǎn)擊，這個(gè)點(diǎn)擊就訪問(wèn)到了A網(wǎng)站，此時(shí)瀏覽器就會(huì)自動(dòng)上傳cookie，此時(shí)網(wǎng)站A對(duì)cookie進(jìn)行確認(rèn)，發(fā)現(xiàn)是合法用戶，此時(shí)就會(huì)執(zhí)行這個(gè)API的動(dòng)作（以前微博就出現(xiàn)過(guò)CSRF×××，出問(wèn)題的接口導(dǎo)致很多情況多了很多關(guān)注）。

創(chuàng)新互聯(lián)公司專注于企業(yè)營(yíng)銷型網(wǎng)站建設(shè)、網(wǎng)站重做改版、梁平網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5建站、購(gòu)物商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)營(yíng)銷網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為梁平等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

總結(jié)
CSRF能造成×××的原理：
用戶登錄過(guò)網(wǎng)站A。
網(wǎng)站A中某一個(gè)接口存在著這種漏洞。這兩條件缺一不可。

防御措施

1.Token驗(yàn)證
×××原理中訪問(wèn)漏洞接口的時(shí)候?yàn)g覽器只上傳了cookie，沒(méi)有手動(dòng)的上傳一個(gè)token。這個(gè)token是用戶登錄注冊(cè)甚至只是訪問(wèn)網(wǎng)站A，服務(wù)器會(huì)自動(dòng)向用戶本地存儲(chǔ)一個(gè)token，在用戶訪問(wèn)各個(gè)接口的時(shí)候，如果沒(méi)帶這個(gè)token，服務(wù)器就不會(huì)通過(guò)驗(yàn)證。所以當(dāng)用戶點(diǎn)擊引誘鏈接，這個(gè)鏈接只會(huì)自動(dòng)攜帶cookie，但是不會(huì)自動(dòng)攜帶token，這樣就能避免×××。

2.Referer驗(yàn)證
Referer，即頁(yè)面來(lái)源。服務(wù)器通過(guò)判斷頁(yè)面來(lái)源是不是自己站點(diǎn)的頁(yè)面來(lái)源，如果是就執(zhí)行接口動(dòng)作，如果不是一律攔截。這樣也能避免×××。

3.隱藏令牌
類似于Token驗(yàn)證，原理是把token放在HTTP頭的自定義屬性中，而不是把信息放在鏈接上，增加了隱蔽性。本質(zhì)上和Token驗(yàn)證沒(méi)什么區(qū)別，只是用法上的一些區(qū)別。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前題目：前端知識(shí)|前端安全之CSRF-創(chuàng)新互聯(lián)
文章地址：http://chinadenli.net/article28/dospjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、手機(jī)網(wǎng)站建設(shè)、網(wǎng)站收錄、網(wǎng)站策劃、定制開發(fā)、微信公眾號(hào)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)