CSRF攻擊
CSRF全稱是跨站請求偽造(cross site request forgery),CSRF偽裝受信任用戶,向第三方平台發送惡意請求
案例:比如你曾經在瀏覽器訪問過銀行A的網站,所以瀏覽器是有保存Cookie的,Cookie並沒有過期,這時,你不小心登錄一個惡意的論壇網站還是什麼網站,你訪問了鏈接(其實鏈接後面加的是竊取Cookie,調銀行A網站轉賬API),這時候,如果網站安全性驗證不過的話,就會竊取金錢的惡意操作
解決方案
1、設置Cookie為HttpOnly
我們知道CSRF是通過竊取Cookie來發送惡意請求的,所以我們可以為Cookie設置HttpOnly屬性,這樣JavaScript或者Applet就不可以惡意發送請求了
添加Token驗證
竟然Cookie有被惡意竊取的可能性,那麼我們或許可以另闢新徑,我們可以在訪問請求時加上Token,服務端再進行驗證,Token驗證通過則可以訪問,否則限制訪問,當然這個Token不可以放在Cookie里。
添加Referer識別
學習HTTP協議的你可能知道,在HTTP的請求頭里有個參數叫Referer,這個參數其實就是記錄了請求的來源地址
