Qu'est-ce qu'une attaque CSRF ? Comment l’empêcher ?

Qu'est-ce qu'une attaque CSRF ?

La falsification de requêtes intersites signifie qu'un attaquant effectue des opérations illégales en tant qu'utilisateur légitime via des requêtes intersites.

(Tutoriel recommandé : Sécurité du serveur Web)

Les attaques CSRF peuvent être comprises de cette façon : l'attaquant vole votre identité et envoie des requêtes malveillantes à des sites Web tiers dans votre nom . Ce que CRSF peut faire inclut utiliser votre identité pour envoyer des e-mails, envoyer des messages texte, effectuer des transferts de transactions et même voler des informations de compte.

Comment prévenir les attaques CSRF

1. Cadre de sécurité, tel que Spring Security. mécanisme de jeton.

2. Effectuez une vérification du jeton dans la requête HTTP. S'il n'y a pas de jeton dans la requête ou si le contenu du jeton est incorrect, cela sera considéré comme une attaque CSRF et la requête sera rejetée.

3. Code de vérification. Dans des circonstances normales, les codes de vérification peuvent très bien freiner les attaques CSRF, mais dans de nombreux cas, pour des raisons d'expérience utilisateur, les codes de vérification ne peuvent être utilisés que comme moyen auxiliaire plutôt que comme solution principale.

4. Identification du référent. Il y a un champ Referer dans l'en-tête HTTP, qui enregistre l'adresse source de la requête HTTP. Si le Referer est un autre site web, il peut s'agir d'une attaque CSRF et la demande sera rejetée. Cependant, tous les serveurs ne peuvent pas obtenir le Referer. De nombreux utilisateurs limitent l'envoi de référents pour des raisons de protection de la vie privée. Dans certains cas, le navigateur n'enverra pas non plus le référent, comme par exemple HTTPS passant à HTTP.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!