CSRF 방어 방법은 무엇입니까?
Csrf 방어 방법은 다음과 같습니다. 1. HTTP Referer 필드를 확인합니다. 2. 요청 주소에 토큰을 추가하고 확인합니다. 3. HTTP 헤더의 속성을 사용자 지정하고 확인합니다. CSRF는 사용자가 현재 로그인되어 있는 웹 애플리케이션에서 의도하지 않은 작업을 수행하도록 강제하는 공격 방법입니다.
csrf는 현재 로그인된 웹 애플리케이션에서 사용자가 의도하지 않은 작업을 수행하도록 강제하는 공격 방법입니다.
csrf 방어 방법:
현재 CSRF 공격을 방어하는 세 가지 주요 전략이 있습니다:
1. HTTP 참조자 필드를 확인합니다.
2. 요청 주소에 토큰을 추가하고
3. HTTP 헤더에서 확인합니다.
자세히 살펴보겠습니다.
(1) HTTP Referer 필드 확인
HTTP 프로토콜에 따르면 HTTP 헤더에는 Referer라는 필드가 있는데, HTTP 요청의 소스 주소를 기록합니다. 일반적으로 보안이 제한된 페이지에 대한 액세스 요청은 동일한 웹사이트에서 시작됩니다. 해커가 은행 웹사이트에 CSRF 공격을 구현하려는 경우 자신의 웹사이트에서만 요청을 구성할 수 있습니다. 사용자가 해커의 웹사이트를 통해 은행에 요청을 보내면 요청의 리퍼러는 해커의 웹사이트를 가리킵니다. .
따라서 CSRF 공격을 방어하기 위해 은행 웹사이트는 각 전송 요청에 대한 추천자 값만 확인하면 됩니다. 도메인 이름이bank.example로 시작하는 경우 해당 요청이 은행 웹사이트 자체에서 온 것임을 의미합니다. 합법적인. 추천자가 다른 웹사이트인 경우 해커에 의한 CSRF 공격일 수 있으며 요청이 거부됩니다.
이 방법의 분명한 이점은 구현이 간단하고 쉽다는 것입니다. 일반 웹 사이트 개발자는 마지막에 보안에 민감한 모든 요청에 인터셉터를 추가하기만 하면 됩니다. 참조자 값. 특히 현재 기존 시스템의 경우 기존 시스템의 코드나 로직을 변경할 필요가 없고 위험도 없으며 매우 편리합니다.
(2) 요청 주소에 토큰 추가 및 검증
CSRF 공격이 성공한 이유는 해커가 사용자의 요청을 완전히 위조할 수 있기 때문입니다. 요청에 포함된 모든 사용자 확인 정보가 쿠키에 존재하기 때문입니다. 은(는) 이러한 인증정보를 알지 못해도 이용자가 보유한 쿠키를 직접 이용하여 보안인증을 통과할 수 있습니다.
CSRF에 저항하려면 해커가 위조할 수 없는 정보를 요청에 넣는 것이 핵심이며, 이 정보는 쿠키에 존재하지 않습니다. 무작위로 생성된 토큰을 HTTP 요청에 매개변수로 추가하고, 서버 측에 인터셉터를 구축하여 요청에 토큰이 없거나 토큰 내용이 잘못된 경우 발생할 수 있다고 간주됩니다. CSRF 공격이 발생하면 요청이 거부됩니다.
(3) HTTP 헤더의 속성을 사용자 정의하고 확인합니다.
이 방법도 토큰을 사용하여 확인합니다. 이전 방법과 달리 토큰은 매개 변수 형식으로 HTTP 요청에 배치되지 않습니다. HTTP 헤더의 사용자 정의 속성에 넣으십시오. XMLHttpRequest 클래스를 통해 이 유형의 모든 요청에 csrftoken HTTP 헤더 속성을 한 번에 추가하고 여기에 토큰 값을 넣을 수 있습니다.
이것은 이전 방법에서 요청에 토큰을 추가하는 불편함을 해결함과 동시에 XMLHttpRequest를 통해 요청한 주소는 브라우저의 주소 표시줄에 기록되지 않으며 토큰이 유출될 염려가 없습니다. 추천자를 통한 다른 웹사이트.
그러나 이 방법에는 큰 한계가 있습니다. XMLHttpRequest 요청은 일반적으로 Ajax 메서드에서 페이지의 부분 비동기 새로 고침에 사용됩니다. 모든 요청이 이 클래스로 시작하기에 적합한 것은 아니며 이 클래스 요청을 통해 얻은 페이지는 브라우저에서 기록할 수 없으므로 앞으로, 뒤로. , 새로 고침 등이 수행될 수 있으며, 수집 및 기타 작업은 사용자에게 불편을 끼칩니다.
또한 CSRF 보호 기능이 없는 레거시 시스템의 경우 보호를 위해 이 방법을 사용하려면 모든 요청을 XMLHttpRequest 요청으로 변경해야 합니다. 이렇게 하면 전체 웹사이트가 거의 다시 작성됩니다.
더 많은 관련 사항을 알고 싶으시면 php 중국어 웹사이트를 방문하세요.
위 내용은 CSRF 방어 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
뜨거운 주제
7554
15
1382
52
83
11
59
19
28
96
주입 공격 방지: Java 보안 제어 방법
Jun 30, 2023 pm 05:16 PM
Java는 다양한 유형의 애플리케이션을 개발하는 데 널리 사용되는 프로그래밍 언어입니다. 그러나 Java 프로그램의 인기와 광범위한 사용으로 인해 Java 프로그램도 해커의 표적 중 하나가 되었습니다. 이 기사에서는 명령 주입 공격의 위협으로부터 Java 프로그램을 보호하기 위해 몇 가지 방법을 사용하는 방법에 대해 설명합니다. 명령어 주입 공격(Command Injection Attack)은 입력 매개변수에 악성 명령어를 삽입해 통제할 수 없는 작업을 수행하는 해킹 기법이다. 이러한 유형의 공격을 통해 해커는 시스템 명령을 실행하거나 민감한 데이터에 액세스하거나 시스템 권한을 얻을 수 있습니다. 이를 방지하기 위해
Nginx 리버스 프록시의 HTTP 요청 스니핑 방어 방법
Jun 11, 2023 am 08:12 AM
인터넷의 발달로 인해 웹 서버와 애플리케이션은 점점 더 복잡해지고 보안 공격도 점차 증가하고 있습니다. Nginx는 웹 서버 및 로드 밸런싱 기술에서 가장 널리 사용되는 도구 중 하나입니다. Nginx의 역방향 프록시 메커니즘은 Nginx를 안정적인 애플리케이션 서버로 만들 수 있지만 이는 또한 널리 공격받는 대상이기도 합니다. 이 기사에서는 Nginx 리버스 프록시에서 HTTP 요청 스니핑 공격을 방어하는 방법을 살펴보겠습니다. HTTP 요청 스니핑 공격이란 무엇입니까? HTTP 요청 스니핑 공격은 일반적입니다.
Laravel의 XSS(교차 사이트 스크립팅) 및 CSRF(교차 사이트 요청 위조) 보호
Aug 13, 2023 pm 04:43 PM
Laravel의 XSS(교차 사이트 스크립팅) 및 CSRF(교차 사이트 요청 위조) 보호 인터넷이 발전하면서 네트워크 보안 문제는 점점 더 심각해졌습니다. 그 중 XSS(Cross-SiteScripting)와 CSRF(Cross-SiteRequestForgery)는 가장 일반적인 공격 방법 중 하나입니다. 인기 있는 PHP 개발 프레임워크인 Laravel은 사용자에게 다양한 보안 메커니즘을 제공합니다.
PHP 세션 크로스 도메인 및 크로스 사이트 요청 위조 비교 분석
Oct 12, 2023 pm 12:58 PM
PHPSession 크로스 도메인 및 크로스 사이트 요청 위조에 대한 비교 분석 인터넷이 발전하면서 웹 애플리케이션의 보안이 특히 중요해졌습니다. PHPSession은 웹 애플리케이션을 개발할 때 일반적으로 사용되는 인증 및 세션 추적 메커니즘인 반면, 크로스 도메인 요청 및 크로스 사이트 요청 위조(CSRF)는 두 가지 주요 보안 위협입니다. 사용자 데이터와 애플리케이션의 보안을 보호하기 위해 개발자는 세션 크로스 도메인과 CSRF의 차이점을 이해하고 채택해야 합니다.
PHP 프레임워크 보안 가이드: CSRF 공격을 방지하는 방법은 무엇입니까?
Jun 01, 2024 am 10:36 AM
PHP 프레임워크 보안 가이드: CSRF 공격을 방지하는 방법은 무엇입니까? CSRF(교차 사이트 요청 위조) 공격은 공격자가 사용자를 속여 피해자의 웹 애플리케이션 내에서 의도하지 않은 작업을 수행하도록 하는 네트워크 공격 유형입니다. CSRF는 어떻게 작동하나요? CSRF 공격은 대부분의 웹 애플리케이션이 동일한 도메인 이름 내의 서로 다른 페이지 간에 요청을 보낼 수 있다는 사실을 이용합니다. 공격자는 피해자의 애플리케이션에 요청을 보내는 악성 페이지를 만들어 승인되지 않은 작업을 촉발합니다. CSRF 공격을 방지하는 방법은 무엇입니까? 1. CSRF 방지 토큰 사용: 각 사용자에게 고유한 토큰을 할당하고 이를 세션이나 쿠키에 저장합니다. 해당 토큰을 제출하려면 신청서에 숨겨진 필드를 포함하세요.
PHP의 CSRF 공격
May 25, 2023 pm 08:31 PM
인터넷의 지속적인 발전으로 인해 웹 애플리케이션이 점점 더 많아지고 있지만 보안 문제도 점점 더 주목받고 있습니다. CSRF(CrossSiteRequestForgery, 교차 사이트 요청 위조) 공격은 일반적인 네트워크 보안 문제입니다. CSRF 공격이란 무엇입니까? 소위 CSRF 공격은 공격자가 사용자의 신원을 도용하고 사용자의 이름으로 불법적인 작업을 수행하는 것을 의미합니다. 평신도의 관점에서 보면 공격자가 사용자의 로그인 상태를 이용하여 사용자가 모르는 사이에 일부 불법적인 작업을 수행하는 것을 의미합니다.
CSRF (Cross-Site Request Grospory) 란 무엇이며 PHP에서 CSRF 보호를 어떻게 구현합니까?
Apr 07, 2025 am 12:02 AM
PHP에서는 예측할 수없는 토큰을 사용하여 CSRF 공격을 효과적으로 방지 할 수 있습니다. 특정 방법은 다음과 같습니다. 1. 형태로 CSRF 토큰을 생성하고 포함시킨다. 2. 요청을 처리 할 때 토큰의 유효성을 확인하십시오.
CSRF 공격에 대한 SpringBoot의 방어 프로세스와 원칙은 무엇입니까?
May 12, 2023 pm 09:13 PM
CSRF 원리 CSRF 공격을 방어하려면 먼저 CSRF 공격이 무엇인지 이해해야 합니다. 다음 그림을 통해 CSRF 공격 프로세스를 정리하겠습니다. 실제로 이 프로세스는 매우 간단합니다. China Merchants Online Banking 웹사이트를 열고 로그인합니다. 2. 로그인에 성공하면 온라인 뱅킹은 쿠키를 프런트 엔드로 반환하고 브라우저는 쿠키를 저장합니다. 3. 사용자는 온라인뱅킹에서 로그아웃하지 않고 브라우저에서 새 탭을 연 후 위험한 웹사이트를 방문했습니다. 4. 이 위험한 웹사이트에는 하이퍼링크가 있으며, 하이퍼링크 주소는 China Merchants Online Banking을 가리킵니다. 4. 사용자가 이 링크를 클릭하면 해당 하이퍼링크는 브라우저에 저장된 쿠키를 자동으로 전달하므로,
