如何防止跨站点伪造？(i prevent cross-site forgery?)

跨站点伪造（XSRF或CSRF），也称为各种名称，包括跨站点请求伪造、会话骑乘和一键攻击，是一种难以防止的网站攻击类型。它通过诱骗web浏览器向远程服务器发送未经授权的命令来运行。跨站点伪造攻击仅对使用真实凭据登录网站的用户有效；因此，注销网站可以是一种简单而有效的预防措施。Web开发人员可以使用随机生成的令牌来帮助防止此类攻击，但应避免检查推荐人或依赖cookie。。...

跨站点伪造攻击以web浏览器为目标是很常见的，这种攻击被称为“代理攻击”浏览器被欺骗，以为是代表用户行事，向远程服务器发送未经授权的命令。这些命令可以隐藏在网页标记代码中看似无辜的部分，这意味着试图下载图像文件的浏览器实际上可能正在向银行、在线零售商或社交网站发送命令。一些浏览器现在包含了旨在防止跨站点伪造攻击的措施，而第三方程序员已经创建了缺少这些措施的扩展或插件。关闭首选客户端中的超文本标记语言（HTML）电子邮件也是一个好主意，因为这些程序也容易受到跨站点伪造攻击。。

因为跨站点伪造攻击依赖于合法登录网站的用户。考虑到这一点，防止此类攻击的最简单方法之一就是从您已使用完毕的站点注销。许多处理敏感数据的网站，包括银行和经纪公司，在一段时间不活动后会自动执行此操作。其他网站则采取相反的方法，允许用户持续登录数天或数周。虽然您可能会觉得这很方便，但它确实会让您面临CSRF攻击。查找“在这台计算机上记住我”或“让我登录”选项并禁用它，确保在完成会话后单击注销链接。。

对于web开发人员来说，消除跨站点伪造漏洞可能是一项特别具有挑战性的任务。检查推荐人和cookie信息不会提供太多保护，因为CSRF漏洞利用合法的用户凭据，并且此信息很容易被欺骗。更好的方法是在用户每次登录时随机生成一个一次性令牌，并要求该令牌包含在用户发送的任何请求中。对于购买或资金转账等重要请求，要求用户重新输入用户名和密码有助于确保请求的真实性。。

发表于 2022-01-05 19:32
阅读 ( 25 )
分类：IT

你可能感兴趣的文章

xss公司(xss)和csrf公司(csrf)的区别

...的请求是伪造的，因为它使用用户的相同会话令牌。了解如何在CSRF网站的整体开发中保护它是很重要的。 xss公司(xss)和csrf公司(csrf)的区别 XSS代表跨站点脚本，CSRF代表跨站点请求伪造。XSS是web应用程序中的一种计算机安全漏洞...

发布于 2020-10-18 08:51
阅读 ( 326 )

欺诈(fraud)和伪造(forgery)的区别

欺诈与伪造欺诈和伪造的区别是必须知道的事实，因为欺诈和伪造并不是现代世界的两个陌生术语。我们经常在媒体上看到和听到这样的故事。欺诈是指任何形式的欺骗个人或组织的金钱利益。这在法律上被认为是犯罪。另...

发布于 2020-10-25 06:55
阅读 ( 234 )

默认情况下，firefox 65将阻止跟踪Cookie

...ckers are blocked from accessing other APIs that allow them to communicate cross-site, such as the Broadcast Channel API. These measures prevent trackers from being able to use cross-site identifiers stored in Firefox to link browsing activity across different sites. 这应该是一个更好的解...

发布于 2021-04-04 07:37
阅读 ( 158 )