一、CSRF漏洞的概念
Cross-site request forgery 简称为“CSRF”,在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为”one click”攻击
CSRF漏洞的防御
1、判断一个请求来自于本网站,还是来自于第三方网站(Referer来源)
2、对敏感信息的操作增加安全的token;
3、对敏感信息的操作增加安全的验证码;
4、对敏感信息的操作实施安全的逻辑流程,比如修改密码时,需要先校验旧密码等。
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 tanglx@aliyun.com
