CSRF-年轻人,陌生的连接不要点啊
年轻人,陌生的连接不要点啊!!!
什么是CSRF
全称Cross-Site-Request-Forgery,跨站请求伪造。黑客利用用户的登录状态,通过第三方站点发起跨请求。
特点
用户登录过目标站点,且保持登录状态
第三方站点发起请求
服务器存在CSRF漏洞
预防
Cookie设置SameSite:响应头set-cookie字段设置Same-site
Strict:禁止第三方站点携带请求站点的Cookie
Lax
Node
服务器校验请求站点,根据请求头Referer或者Origin(只保存域名信息)-优先判断Origin,之后判断是否使用Referer
CSRF Token浏览器向服务器发起请求,服务器生成CSRF token,植入页面,浏览器发起请求时,必须携带token。第三方站点是无法获取该token的,所以可以有效阻止CSRF