Was ist ein CSRF-Angriff? Wie kann man es verhindern?

Was ist ein CSRF-Angriff?

Cross-Site-Request-Forgery bedeutet, dass ein Angreifer als legitimer Benutzer über Cross-Site-Anfragen illegale Vorgänge ausführt.

(Empfohlenes Tutorial: Webserver-Sicherheit)

CSRF-Angriffe können folgendermaßen verstanden werden: Der Angreifer stiehlt Ihre Identität und sendet böswillige Anfragen an Websites Dritter in Ihrem Name . CRSF kann unter anderem Ihre Identität nutzen, um E-Mails und Textnachrichten zu versenden, Transaktionsübertragungen durchzuführen und sogar Kontoinformationen zu stehlen.

So verhindern Sie CSRF-Angriffe

1. Sicherheitsframework, wie z. B. Spring Security. Token-Mechanismus.

2. Führen Sie eine Token-Überprüfung in der HTTP-Anfrage durch oder ist der Token-Inhalt falsch, wird dies als CSRF-Angriff betrachtet und die Anfrage abgelehnt.

3. Bestätigungscode. Unter normalen Umständen können Verifizierungscodes CSRF-Angriffe sehr gut eindämmen. In vielen Fällen können Verifizierungscodes jedoch aus Gründen der Benutzererfahrung nur als Hilfsmittel und nicht als Hauptlösung verwendet werden.

4. Identifizierung des Referenten. Im HTTP-Header gibt es ein Feld Referer, das die Quelladresse der HTTP-Anfrage aufzeichnet. Handelt es sich bei dem Referrer um eine andere Website, handelt es sich möglicherweise um einen CSRF-Angriff und die Anfrage wird abgelehnt. Allerdings können nicht alle Server den Referrer erhalten. Viele Benutzer schränken das Versenden von Referrern aus Datenschutzgründen ein. In einigen Fällen sendet der Browser den Referrer auch nicht, z. B. wenn HTTPS zu HTTP springt.

Das obige ist der detaillierte Inhalt vonWas ist ein CSRF-Angriff? Wie kann man es verhindern?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!