美文网首页
CSRF攻击的过程及预防流程

CSRF攻击的过程及预防流程

作者: Gavininn | 来源:发表于2019-06-10 02:18 被阅读0次

    CSRF攻击的过程

    1.用户C浏览并登陆信任的站点A
    2.A验证通过,在用户C处产生A的Cookie
    3.用户C在没有登陆的情况下访问攻击站点B
    4.B要求访问第三方的站点A,发出一个请求
    5.根据B在4的请求,浏览器携带2产生的cookie访问站点A
    6.A不知道5中的请求是用户C发出的还是B发出的,由于浏览器会自动带上用户C的Cookie,所以A会个根据C的权限处理5的请求,这样B就达到了模拟用户登录的目的

    防止CSRF的攻击

    1.在客户端向后端请求界面数据的时候,后端会往响应中的cookie中设置csrf_token的值
    2.在Form表单中添加一个隐藏字段,值也是csrf_token
    3.在用户提交的时候,会带上这两个值向后台发起请求
    4.后端接收到请求以后,会做三件事:

    • 从cookie中取出csrf_token
    • 从表单数据中取出隐藏的csrf_token的值
    • 将这连个值进行比对

    5.如果比较后两个值一样,那么代表是正常的请求,如果没有取到或者比较不一致,代表不是正常的请求,不执行下一步操作

    相关文章

      网友评论

          本文标题:CSRF攻击的过程及预防流程

          本文链接:https://www.haomeiwen.com/subject/bbaoxctx.html