前端安全

• 常见前端安全问题有： xss攻击、 csrf攻击 两种，今天总结一下目前了解的csrf攻击方式以及规避方法。

概念

• CSRF 跨站请求攻击 英文(cross-site request forgery）

实施过程

• 用户小明登录 A网站，A网站下发cookie 用来验证当前用户；
• 小明在未注销A网站的前提下 登录B网站（攻击者的网站），B网站诱引小敏点击页面某些部分的方式、携带A网站的cookie，网站A并不知道该请求其实是由B发起的，所以会根据小明的Cookie信息授权处理请求，导致来自网站B的恶意代码被执行。比如：添加关注、取消关注、添加商品、结算、转账、发送垃圾邮件等行为；
• 客官：请看图片

小明OS

防御方法

• token 验证
  上一步提到的，网站B通过获取A网站下发的cookie进行恶意的请求操作，
  token验证方法原理是在cookie之外再携带一个验证、进行除了cookie之外的验证、B网站拿不到这个token 也就无法合理的请求A网站。
  用户小明登录A网站，A下发cookie以及token、将token数据保存在session中、每当用户提交操作时、将请求携带的token于session进行对比，不相同则拒绝执行操作。

token

• reference 验证
  网站进行请求操作时，在 http headers有一个字段叫 Referer，它记录了该 HTTP 请求的来源地址，如果当前发起请求的地址不是规定的地址，拒绝当前请求。

  
  qq音乐