csrf攻擊的原理是什么

這篇文章主要介紹“csrf攻擊的原理是什么”，在日常操作中，相信很多人在csrf攻擊的原理是什么問題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”csrf攻擊的原理是什么”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

1 csrf攻擊的原理是什么？ 當(dāng)你取得A網(wǎng)站的信任后，訪問B網(wǎng)站，在B網(wǎng)站含有偽裝的訪問A請(qǐng)求，這樣你就帶著A網(wǎng)站的cookie，去訪問A的后臺(tái)。

2 跨域不能訪問cookie，為什么在B網(wǎng)站能攜帶A網(wǎng)站的cookie?？梢园褕D片的crc屬性編輯成一條訪問A網(wǎng)站的請(qǐng)求。由于你訪問的是A網(wǎng)站，攜帶A網(wǎng)站的cookie是理所應(yīng)當(dāng)?shù)摹?/p>

3 如何防范？http的請(qǐng)求頭有個(gè)reffer屬性，代表了請(qǐng)求的來源，就是從哪個(gè)網(wǎng)站發(fā)起的請(qǐng)求。后臺(tái)校驗(yàn)請(qǐng)求是否來自A網(wǎng)站，如果不是則攔截請(qǐng)求。絕大多數(shù)的情況下是可行的，不過某些舊瀏覽器，如早版本的ie，據(jù)說可以修改reffer，有些其他技術(shù)貌似也可以修改新的瀏覽器。

4 另一種方式是token驗(yàn)證。在登錄成功后，服務(wù)端生成一個(gè)隨機(jī)token給瀏覽器。瀏覽器在提交表單的時(shí)候攜帶token，后臺(tái)校驗(yàn)token與給瀏覽器的是否相同，如果不一樣則攔截。

5 注意的是，這個(gè)token不能存儲(chǔ)到cookie中，因?yàn)閏srf攻擊就是騙取你的cookie，放在cookie中工作就白費(fèi)了。想到的方法是存到j(luò)s的全局變量中。

到此，關(guān)于“csrf攻擊的原理是什么”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！