CSRF攻擊的原理:

1、當(dāng)用戶成功登陸網(wǎng)站A時，瀏覽器紀(jì)錄本次會話cookie。

2、未退出網(wǎng)站A，點擊了惡意網(wǎng)站B上的圖片或者其他誘騙信息。

3、惡意網(wǎng)站B上的誘騙信息超鏈接到了網(wǎng)站A上面，冒充用戶身份執(zhí)行一些操作。(由于本地瀏覽器存在cookie，因此第二次訪問網(wǎng)站A時，網(wǎng)站A認(rèn)為是合法的請求)

?

解決辦法:

Token

Token一般用在兩個地方:?

防止表單重復(fù)提交

csrf攻擊（跨站點請求偽造）。?

兩者在原理上都是通過session?token來實現(xiàn)的。當(dāng)客戶端請求頁面時，服務(wù)器會生成一個隨機數(shù)Token，并且將Token放置到session當(dāng)中，然后將Token發(fā)給客戶端（一般通過構(gòu)造hidden表單）。下次客戶端提交請求時，Token會隨著表單一起提交到服務(wù)器端。?
然后，如果應(yīng)用于"anti?csrf攻擊"，則服務(wù)器端會對Token值進(jìn)行驗證，判斷是否和session中的Token值相等，若相等，則可以證明請求有效，不是偽造的。?
不過，如果應(yīng)用于"防止表單重復(fù)提交"，服務(wù)器端第一次驗證相同過后，會將session中的Token值更新下，若用戶重復(fù)提交，第二次的驗證判斷將失敗，因為用戶提交的表單中的Token沒變，但服務(wù)器端session中Token已經(jīng)改變了。?

上面的session應(yīng)用相對安全，但也叫繁瑣，同時當(dāng)多頁面多請求時，必須采用多Token同時生成的方法，這樣占用更多資源，執(zhí)行效率會降低。因此，也可用cookie存儲驗證信息的方法來代替session?Token。比如，應(yīng)對"重復(fù)提交"時，當(dāng)?shù)谝淮翁峤缓蟊惆岩呀?jīng)提交的信息寫到cookie中，當(dāng)?shù)诙翁峤粫r，由于cookie已經(jīng)有提交記錄，因此第二次提交會失敗。?
不過，cookie存儲有個致命弱點，如果cookie被劫持（xss攻擊很容易得到用戶cookie），那么又一次gameover。黑客將直接實現(xiàn)csrf攻擊。?

所以，安全和高效相對的。具體問題具體對待吧。?

此外，要避免"加token但不進(jìn)行校驗"的情況，在session中增加了token，但服務(wù)端沒有對token進(jìn)行驗證，根本起不到防范的作用。?

還需注意的是，對數(shù)據(jù)庫有改動的增刪改操作，需要加token驗證，對于查詢操作，一定不要加token，防止攻擊者通過查詢操作獲取token進(jìn)行csrf攻擊。但并不是這樣攻擊者就無法獲得token，只是增大攻擊成本而已。

轉(zhuǎn)載于:https://www.cnblogs.com/ahaii/p/5803066.html

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的关于CSRF的攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。