四、CSRF 攻擊

  • CSRF 全拼為Cross Site Request Forgery,譯為跨站請求偽造。
  • CSRF 指攻擊者盜用了你的身份,以你的名義發(fā)送惡意請求。
  • 如果想防止 CSRF,首先是重要的信息傳遞都采用 POST 方式而不是 GET 方式。
  • 啟用 CSRF 中間件,默認(rèn)啟用。
  • 在 form 表單中加入標(biāo)簽 csrf_token。
  • 當(dāng)啟用中間件并加入標(biāo)簽 csrf_token 后,會向客戶端瀏覽器中寫入一條 Cookie 信息,這條信息的值與隱藏域控制的 value 屬性是一致的,提交到服務(wù)器后會先由 csrf 中間件進(jìn)行驗證,如果對比失敗則返回403頁面,而不會進(jìn)行后續(xù)的處理。
csrf 攻擊.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

推薦閱讀更多精彩內(nèi)容