Csrf 방어 방법은 다음과 같습니다. 1. HTTP Referer 필드를 확인합니다. 2. 요청 주소에 토큰을 추가하고 확인합니다. 3. HTTP 헤더의 속성을 사용자 지정하고 확인합니다. CSRF는 사용자가 현재 로그인되어 있는 웹 애플리케이션에서 의도하지 않은 작업을 수행하도록 강제하는 공격 방법입니다.
csrf는 현재 로그인된 웹 애플리케이션에서 사용자가 의도하지 않은 작업을 수행하도록 강제하는 공격 방법입니다.
csrf 방어 방법:
현재 CSRF 공격을 방어하는 세 가지 주요 전략이 있습니다:
1. HTTP 참조자 필드를 확인합니다.
2. 요청 주소에 토큰을 추가하고
3. HTTP 헤더에서 확인합니다.
자세히 살펴보겠습니다.
(1) HTTP Referer 필드 확인
HTTP 프로토콜에 따르면 HTTP 헤더에는 Referer라는 필드가 있는데, HTTP 요청의 소스 주소를 기록합니다. 일반적으로 보안이 제한된 페이지에 대한 액세스 요청은 동일한 웹사이트에서 시작됩니다. 해커가 은행 웹사이트에 CSRF 공격을 구현하려는 경우 자신의 웹사이트에서만 요청을 구성할 수 있습니다. 사용자가 해커의 웹사이트를 통해 은행에 요청을 보내면 요청의 리퍼러는 해커의 웹사이트를 가리킵니다. .
따라서 CSRF 공격을 방어하기 위해 은행 웹사이트는 각 전송 요청에 대한 추천자 값만 확인하면 됩니다. 도메인 이름이bank.example로 시작하는 경우 해당 요청이 은행 웹사이트 자체에서 온 것임을 의미합니다. 합법적인. 추천자가 다른 웹사이트인 경우 해커에 의한 CSRF 공격일 수 있으며 요청이 거부됩니다.
이 방법의 분명한 이점은 구현이 간단하고 쉽다는 것입니다. 일반 웹 사이트 개발자는 마지막에 보안에 민감한 모든 요청에 인터셉터를 추가하기만 하면 됩니다. 참조자 값. 특히 현재 기존 시스템의 경우 기존 시스템의 코드나 로직을 변경할 필요가 없고 위험도 없으며 매우 편리합니다.
(2) 요청 주소에 토큰 추가 및 검증
CSRF 공격이 성공한 이유는 해커가 사용자의 요청을 완전히 위조할 수 있기 때문입니다. 요청에 포함된 모든 사용자 확인 정보가 쿠키에 존재하기 때문입니다. 은(는) 이러한 인증정보를 알지 못해도 이용자가 보유한 쿠키를 직접 이용하여 보안인증을 통과할 수 있습니다.
CSRF에 저항하려면 해커가 위조할 수 없는 정보를 요청에 넣는 것이 핵심이며, 이 정보는 쿠키에 존재하지 않습니다. 무작위로 생성된 토큰을 HTTP 요청에 매개변수로 추가하고, 서버 측에 인터셉터를 구축하여 요청에 토큰이 없거나 토큰 내용이 잘못된 경우 발생할 수 있다고 간주됩니다. CSRF 공격이 발생하면 요청이 거부됩니다.
(3) HTTP 헤더의 속성을 사용자 정의하고 확인합니다.
이 방법도 토큰을 사용하여 확인합니다. 이전 방법과 달리 토큰은 매개 변수 형식으로 HTTP 요청에 배치되지 않습니다. HTTP 헤더의 사용자 정의 속성에 넣으십시오. XMLHttpRequest 클래스를 통해 이 유형의 모든 요청에 csrftoken HTTP 헤더 속성을 한 번에 추가하고 여기에 토큰 값을 넣을 수 있습니다.
이것은 이전 방법에서 요청에 토큰을 추가하는 불편함을 해결함과 동시에 XMLHttpRequest를 통해 요청한 주소는 브라우저의 주소 표시줄에 기록되지 않으며 토큰이 유출될 염려가 없습니다. 추천자를 통한 다른 웹사이트.
그러나 이 방법에는 큰 한계가 있습니다. XMLHttpRequest 요청은 일반적으로 Ajax 메서드에서 페이지의 부분 비동기 새로 고침에 사용됩니다. 모든 요청이 이 클래스로 시작하기에 적합한 것은 아니며 이 클래스 요청을 통해 얻은 페이지는 브라우저에서 기록할 수 없으므로 앞으로, 뒤로. , 새로 고침 등이 수행될 수 있으며, 수집 및 기타 작업은 사용자에게 불편을 끼칩니다.
또한 CSRF 보호 기능이 없는 레거시 시스템의 경우 보호를 위해 이 방법을 사용하려면 모든 요청을 XMLHttpRequest 요청으로 변경해야 합니다. 이렇게 하면 전체 웹사이트가 거의 다시 작성됩니다.
더 많은 관련 사항을 알고 싶으시면 php 중국어 웹사이트를 방문하세요.
위 내용은 CSRF 방어 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
MinGW - Windows용 미니멀리스트 GNU
이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.
mPDF
mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
