CSRF攻撃とは何ですか?それを防ぐにはどうすればよいでしょうか？

CSRF 攻撃とは何ですか?

クロスサイト リクエスト フォージェリとは、攻撃者がクロスサイト リクエストを通じて正規のユーザーとして違法な操作を実行することを指します。

(推奨チュートリアル: Web サーバー セキュリティ )

CSRF 攻撃は次のように理解できます。攻撃者はユーザーの ID を盗み、ユーザーの Web サイトに悪意のあるリクエストを送信します。名前。 。 CRSF が行うことができることには、電子メールの送信、テキスト メッセージの送信、トランザクション転送の実行、さらにはアカウント情報の窃取にユーザーの ID を使用することが含まれます。

CSRF 攻撃を防ぐ方法

1. Spring Security などのセキュリティ フレームワーク。トークンの仕組み。

2. HTTP リクエストでトークン検証を実行します。リクエストにトークンが含まれていない場合、またはトークンの内容が正しくない場合、CSRF 攻撃とみなされ、リクエストは拒否されます。

3. 検証コード。通常の状況では、検証コードは CSRF 攻撃を十分に抑制できますが、多くの場合、ユーザー エクスペリエンスを考慮して、検証コードは主な解決策ではなく補助手段としてのみ使用できます。

4. リファラーの識別。 HTTP ヘッダーには、HTTP リクエストの送信元アドレスを記録するフィールド Referer があります。リファラーが別の Web サイトである場合、CSRF 攻撃である可能性があり、リクエストは拒否されます。ただし、すべてのサーバーがリファラーを取得できるわけではありません。多くのユーザーはプライバシー保護の観点からリファラーの送信を制限しています。場合によっては、HTTPS が HTTP にジャンプするなど、ブラウザーがリファラーを送信しないこともあります。

以上がCSRF攻撃とは何ですか?それを防ぐにはどうすればよいでしょうか？の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。