四、CSRF 攻擊

• CSRF 全拼為Cross Site Request Forgery，譯為跨站請求偽造。
• CSRF 指攻擊者盜用了你的身份，以你的名義發(fā)送惡意請求。
• 如果想防止 CSRF，首先是重要的信息傳遞都采用 POST 方式而不是 GET 方式。
• 啟用 CSRF 中間件，默認(rèn)啟用。
• 在 form 表單中加入標(biāo)簽 csrf_token。
• 當(dāng)啟用中間件并加入標(biāo)簽 csrf_token 后，會向客戶端瀏覽器中寫入一條 Cookie 信息，這條信息的值與隱藏域控制的 value 屬性是一致的，提交到服務(wù)器后會先由 csrf 中間件進(jìn)行驗證，如果對比失敗則返回403頁面，而不會進(jìn)行后續(xù)的處理。

csrf 攻擊.png

推薦閱讀更多精彩內(nèi)容

• 程序猿必讀-防范CSRF跨站請求偽造

  CSRF（Cross-site request forgery，中文為跨站請求偽造）是一種利用網(wǎng)站可信用戶的權(quán)限去...

  mylxsw閱讀 994評論 1贊 11
• Spring Cloud

  Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具（例如配置管理，服務(wù)發(fā)現(xiàn)，斷路器，智...

  卡卡羅2017閱讀 134,869評論 18贊 139
• Django教程（二）- Django視圖與網(wǎng)址進(jìn)階

  目錄： Django教程（一）- Django視圖與網(wǎng)址Django教程（二）- Django視圖與網(wǎng)址進(jìn)階Dja...

  一只寫程序的猿閱讀 2,971評論 0贊 5
• CSRF攻擊與防御

  轉(zhuǎn)載地址：http://www.phpddt.com/reprint/csrf.htmlCSRF概念：CSRF跨站...

  matianhe閱讀 989評論 0贊 104
• CSRF攻擊介紹及防御

  CSRF概念：CSRF跨站點請求偽造(Cross—Site Request Forgery)，跟XSS攻擊一樣，存...

  raincoco閱讀 833評論 0贊 1