首頁 運維 安全 csrf防禦方法有哪些

csrf防禦方法有哪些

Jun 29, 2020 am 09:08 AM
csrf 防禦方法

csrf防禦方法有:1、驗證HTTP Referer欄位;2、在請求位址中加入token並驗證;3、在HTTP頭中自訂屬性並驗證。 csrf是一種挾制用戶在目前已登入的網路應用程式上執行非本意的操作的攻擊方法。

csrf防禦方法有哪些

csrf是一種挾位使用者在目前已登入的網路應用程式上執行非本意的操作的攻擊方法。

csrf防禦方法:

目前防禦CSRF 攻擊主要有三種策略:

1、驗證HTTP Referer 欄位;

2、在請求位址中新增token 並驗證;

3、在HTTP 頭中自訂屬性並驗證。

下面我們來具體說一下:

(1)驗證HTTP Referer 欄位

根據HTTP 協議,在HTTP 頭中有一個欄位叫Referer,它記錄了該HTTP 請求的來源位址。在通常情況下,存取安全受限頁面的請求來自於同一個網站。而如果駭客要對銀行網站實施 CSRF 攻擊,他只能在他自己的網站建構請求,當使用者透過駭客的網站發送請求到銀行時,該請求的 Referer 是指向駭客自己的網站。

因此,要防禦CSRF 攻擊,銀行網站只需要對於每一個轉帳請求驗證其Referer 值,如果是以bank.example 開頭的域名,則說明該請求是來自銀行網站自己的請求,是合法的。如果 Referer 是其他網站的話,則有可能是駭客的 CSRF 攻擊,拒絕該請求。

這種方法的顯而易見的好處就是簡單易行,網站的普通開發人員不需要操心CSRF 的漏洞,只需要在最後給所有安全敏感的請求統一增加一個攔截器來檢查Referer 的值就可以。特別是對於目前現有的系統,不需要改變目前系統的任何現有程式碼和邏輯,沒有風險,非常方便。

(2)在請求位址中新增token 並驗證

CSRF 攻擊之所以能夠成功,是因為駭客可以完全偽造使用者的請求,該請求中所有的使用者驗證資訊都是存在於cookie 中,因此駭客可以在不知道這些驗證資訊的情況下直接利用使用者自己的cookie 來通過安全驗證。

要抵禦 CSRF,關鍵在於在請求中放入駭客所不能偽造的訊息,並且該資訊不存在於 cookie 之中。可以在HTTP 請求中以參數的形式加入一個隨機產生的token,並在伺服器端建立一個攔截器來驗證這個token,如果請求中沒有token 或token 內容不正確,則認為可能是CSRF 攻擊而拒絕該請求。

(3)在HTTP 頭中自訂屬性並驗證

#這種方法也是使用token 並進行驗證,和上一個方法不同的是,這裡並不是把token 以參數的形式置於HTTP 請求之中,而是把它放到HTTP 頭中自訂的屬性裡。透過 XMLHttpRequest 這個類,可以一次給所有該類請求加上 csrftoken 這個 HTTP 頭屬性,並把 token 值放入其中。

這樣解決了上種方法在請求中加入token 的不便,同時,透過XMLHttpRequest 請求的位址不會被記錄到瀏覽器的位址欄,也不用擔心token 會透過Referer 洩漏到其他網站中去。

然而這種方法的限制非常大。 XMLHttpRequest 請求通常用於Ajax 方法中對於頁面局部的非同步刷新,並非所有的請求都適合用這個類別來發起,而且透過該類別請求得到的頁面不能被瀏覽器所記錄下,從而進行前進,後退,刷新,收藏等操作,造成使用者不便。

另外,對於沒有進行CSRF 防護的遺留系統來說,要採用這種方法來進行防護,要把所有請求都改為XMLHttpRequest 請求,這樣幾乎是要重寫整個網站,這代價無疑是不能接受的。

如果您想了解更多相關問題,可以存取php中文網

以上是csrf防禦方法有哪些的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

Laravel中的跨站腳本攻擊(XSS)和跨站請求偽造(CSRF)防護 Laravel中的跨站腳本攻擊(XSS)和跨站請求偽造(CSRF)防護 Aug 13, 2023 pm 04:43 PM

Laravel中的跨站腳本攻擊(XSS)和跨站請求偽造(CSRF)防護隨著互聯網的發展,網路安全問題也變得越來越嚴峻。其中,跨站腳本攻擊(Cross-SiteScripting,XSS)和跨站請求偽造(Cross-SiteRequestForgery,CSRF)是最常見的攻擊手段之一。 Laravel作為一款受歡迎的PHP開發框架,為使用者提供了多種安全機

防注入攻擊:Java安全控制方法 防注入攻擊:Java安全控制方法 Jun 30, 2023 pm 05:16 PM

Java是一種廣泛使用的程式語言,用於開發各種類型的應用程式。然而,由於其流行程度和廣泛使用,Java程式也成為了駭客攻擊的目標之一。本文將討論如何使用一些方法來保護Java程式免受命令注入攻擊的威脅。命令注入攻擊是一種駭客攻擊技術,透過在輸入參數中插入惡意命令,來執行不受控制的操作。這種攻擊可以讓駭客執行系統命令、存取敏感資料或取得系統權限。為了防止這種

Nginx反向代理中的HTTP請求嗅探防禦方法 Nginx反向代理中的HTTP請求嗅探防禦方法 Jun 11, 2023 am 08:12 AM

隨著網路的發展,網路伺服器和應用程式變得越來越複雜,安全攻擊也漸漸增多,Nginx是Web伺服器和負載平衡技術中使用最廣泛的工具之一。 Nginx的反向代理機制可以使其成為一個可靠的應用伺服器,同時也是一個被廣泛攻擊的目標。在這篇文章中,我們將探討如何在Nginx反向代理中防禦HTTP請求嗅探攻擊。什麼是HTTP請求嗅探攻擊? HTTP請求嗅探攻擊是一種常見

PHP Session 跨域與跨站請求偽造的比較分析 PHP Session 跨域與跨站請求偽造的比較分析 Oct 12, 2023 pm 12:58 PM

PHPSession跨域與跨站請求偽造的對比分析隨著網路的發展,Web應用程式的安全性顯得格外重要。在開發Web應用程式時,PHPSession是一種常用的身份驗證和會話追蹤機制,而跨域請求和跨站請求偽造(CSRF)則是兩種主要的安全威脅。為了保護使用者資料和應用程式的安全性,開發人員需要了解Session跨域和CSRF的區別,並採

PHP 框架安全指南:如何防止 CSRF 攻擊? PHP 框架安全指南:如何防止 CSRF 攻擊? Jun 01, 2024 am 10:36 AM

PHP框架安全指南:如何防止CSRF攻擊?跨站點請求偽造(CSRF)攻擊是一種網路攻擊,其中攻擊者誘騙用戶在受害者的網路應用程式中執行非預期操作。 CSRF如何運作? CSRF攻擊利用了一個事實:大多數Web應用程式允許在同一個網域內不同頁面之間發送請求。攻擊者會建立惡意頁面,該頁面向受害者的應用程式發送請求,觸發未經授權的操作。如何防止CSRF攻擊? 1.使用反CSRF令牌:向每個使用者分配一個唯一的令牌,將其儲存在會話或Cookie中。在應用程式中包含一個隱藏字段,用於提交該令牌

PHP中的CSRF攻擊 PHP中的CSRF攻擊 May 25, 2023 pm 08:31 PM

隨著網路的不斷發展,網頁應用也越來越多,然而,安全問題也越來越引起人們的關注。 CSRF(CrossSiteRequestForgery,即跨站請求偽造)攻擊就是一種常見的網路安全問題。 CSRF攻擊是什麼?所謂CSRF攻擊,就是攻擊者盜用了使用者的身份,以使用者的名義進行非法操作。通俗的講,就是攻擊者利用使用者的登入態,在使用者毫不知情的情況下,進行一些非法的操

什麼是跨站點偽造(CSRF),您如何在PHP中實施CSRF保護? 什麼是跨站點偽造(CSRF),您如何在PHP中實施CSRF保護? Apr 07, 2025 am 12:02 AM

在PHP中可以通過使用不可預測的令牌來有效防範CSRF攻擊。具體方法包括:1.生成並在表單中嵌入CSRF令牌;2.在處理請求時驗證令牌的有效性。

PHP和Vue.js開發防禦跨站請求偽造(CSRF)攻擊的應用程式 PHP和Vue.js開發防禦跨站請求偽造(CSRF)攻擊的應用程式 Jul 05, 2023 pm 07:21 PM

PHP和Vue.js開發防禦跨站請求偽造(CSRF)攻擊的應用程式隨著互聯網應用程式的發展,跨站請求偽造(Cross-SiteRequestForgery,CSRF)攻擊成為了常見的安全威脅。它利用使用者已登入的身分進行偽造請求,從而執行惡意操作,如修改使用者密碼、發布垃圾訊息等。為了保護使用者的安全和資料的完整性,我們需要在應用程式中實施有效的CSRF

See all articles