标签：请求 表单 token cookie csrf 防范 CSRF 攻击方式

CSRF

• CSRF全拼为Cross Site Request Forgery，译为跨站请求伪造。
• CSRF指攻击者盗用了你的身份，以你的名义发送恶意请求。
  • 包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......
• 造成的问题：个人隐私泄露以及财产安全。

CSRF攻击示意图

• 客户端访问服务器时没有同服务器做安全验证

防止 CSRF 攻击

步骤

1. 在客户端向后端请求界面数据的时候，后端会往响应中的 cookie 中设置 csrf_token 的值
2. 在 Form 表单中添加一个隐藏的的字段，值也是 csrf_token
3. 在用户点击提交的时候，会带上这两个值向后台发起请求
4. 后端接受到请求，以会以下几件事件：
   • 从 cookie中取出 csrf_token
   • 从 表单数据中取出来隐藏的 csrf_token 的值
   • 进行对比
5. 如果比较之后两值一样，那么代表是正常的请求，如果没取到或者比较不一样，代表不是正常的请求，不执行下一步操作

标签：请求,表单,token,cookie,csrf,防范,CSRF,攻击方式
来源： https://blog.csdn.net/qwertyuiopasdfgg/article/details/93336080

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。