CSRF 攻击的原理和防范措施
CSRF 攻击的原理和防范措施
一. 攻击原理:
- 用户C访问正常网站A时进行登录,浏览器保存A的cookie
- 用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数
- 而攻击网站B在访问网站A的时候,浏览器会自动带上网站A的cookie
- 所以网站A在接收到请求之后可判断当前用户是登录状态,所以根据用户的权限做具体的操作逻辑,造成网站攻击成功
二. 防范措施:
- 在指定表单或者请求头的里面添加一个随机值做为参数
- 在响应的cookie里面也设置该随机值
- 那么用户C在正常提交表单的时候会默认带上表单中的随机值,浏览器会自动带上cookie里面的随机值,那么服务器下次接受到请求之后就可以取出两个值进行校验
- 而对于网站B来说网站B在提交表单的时候不知道该随机值是什么,所以就形成不了攻击