- CSRF 全拼為Cross Site Request Forgery,譯為跨站請求偽造。
- CSRF 指攻擊者盜用了你的身份,以你的名義發(fā)送惡意請求。
- 如果想防止 CSRF,首先是重要的信息傳遞都采用 POST 方式而不是 GET 方式。
- 啟用 CSRF 中間件,默認(rèn)啟用。
- 在 form 表單中加入標(biāo)簽 csrf_token。
- 當(dāng)啟用中間件并加入標(biāo)簽 csrf_token 后,會向客戶端瀏覽器中寫入一條 Cookie 信息,這條信息的值與隱藏域控制的 value 屬性是一致的,提交到服務(wù)器后會先由 csrf 中間件進(jìn)行驗證,如果對比失敗則返回403頁面,而不會進(jìn)行后續(xù)的處理。
csrf 攻擊.png