CSRF/XSRF（Cross-Site Request Forgery），即跨站請求偽造，也被稱為“One Click Attack”或者Session Riding。基本原理是通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。

×××原理：
如圖所示，用戶首先訪問網(wǎng)站A，通過登錄身份驗證成功，網(wǎng)站A下發(fā)cookie保存在用戶的瀏覽器中。用戶又去訪問了網(wǎng)站B，網(wǎng)站B在下發(fā)用戶頁面的時候會有一個引誘點擊，這個引誘點擊一般是一個鏈接，這個鏈接一般指向網(wǎng)站A的一個存在漏洞的API接口，尤其這個API接口是GET類型。當用戶禁不住誘惑點擊了這個引誘點擊，這個點擊就訪問到了A網(wǎng)站，此時瀏覽器就會自動上傳cookie，此時網(wǎng)站A對cookie進行確認，發(fā)現(xiàn)是合法用戶，此時就會執(zhí)行這個API的動作（以前微博就出現(xiàn)過CSRF×××，出問題的接口導致很多情況多了很多關注）。

創(chuàng)新互聯(lián)公司專注于企業(yè)營銷型網(wǎng)站建設、網(wǎng)站重做改版、梁平網(wǎng)站定制設計、自適應品牌網(wǎng)站建設、H5建站、購物商城網(wǎng)站建設、集團公司官網(wǎng)建設、外貿(mào)營銷網(wǎng)站建設、高端網(wǎng)站制作、響應式網(wǎng)頁設計等建站業(yè)務，價格優(yōu)惠性價比高，為梁平等各大城市提供網(wǎng)站開發(fā)制作服務。

總結
CSRF能造成×××的原理：
用戶登錄過網(wǎng)站A。
網(wǎng)站A中某一個接口存在著這種漏洞。這兩條件缺一不可。

防御措施

1.Token驗證
×××原理中訪問漏洞接口的時候瀏覽器只上傳了cookie，沒有手動的上傳一個token。這個token是用戶登錄注冊甚至只是訪問網(wǎng)站A，服務器會自動向用戶本地存儲一個token，在用戶訪問各個接口的時候，如果沒帶這個token，服務器就不會通過驗證。所以當用戶點擊引誘鏈接，這個鏈接只會自動攜帶cookie，但是不會自動攜帶token，這樣就能避免×××。

2.Referer驗證
Referer，即頁面來源。服務器通過判斷頁面來源是不是自己站點的頁面來源，如果是就執(zhí)行接口動作，如果不是一律攔截。這樣也能避免×××。

3.隱藏令牌
類似于Token驗證，原理是把token放在HTTP頭的自定義屬性中，而不是把信息放在鏈接上，增加了隱蔽性。本質上和Token驗證沒什么區(qū)別，只是用法上的一些區(qū)別。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前題目：前端知識|前端安全之CSRF-創(chuàng)新互聯(lián)
文章地址：http://www.chinadenli.net/article28/dospjp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站改版、手機網(wǎng)站建設、網(wǎng)站收錄、網(wǎng)站策劃、定制開發(fā)、微信公眾號

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)