什麼是CSRF攻擊？該如何防範？

什麼是CSRF攻擊？

跨網站請求偽造，指攻擊者透過跨站請求，以合法的使用者的身分進行非法操作。

（推薦教學：web伺服器安全）

可以這麼理解CSRF攻擊：攻擊者盜用你的身份，以你的名義向第三方網站發送惡意請求。 CRSF能做的事情包括利用你的身分發送郵件，發送短信，進行交易轉賬，甚至盜取帳號資訊。

如何防範CSRF攻擊

1、安全框架，例如Spring Security。 token機制。

2、在HTTP請求中進行token驗證，如果請求中沒有token或token內容不正確，則認為CSRF攻擊而拒絕該請求。

3、驗證碼。通常情況下，驗證碼能夠很好的遏制CSRF攻擊，但是很多情況下，出於使用者體驗考慮，驗證碼只能作為一種輔助手段，而不是最主要的解決方案。

4、referer辨識。在HTTP Header中有一個欄位Referer，它記錄了HTTP請求的來源位址。如果Referer是其他網站，就有可能是CSRF攻擊，則拒絕該請求。但是，伺服器並非都能取到Referer。很多用戶出於隱私保護的考慮，限制了Referer的發送。在某些情況下，瀏覽器也不會傳送Referer，例如HTTPS跳到HTTP。

以上是什麼是CSRF攻擊？該如何防範？的詳細內容。更多資訊請關注PHP中文網其他相關文章！