如何防止XSRF攻擊以及如何防止CSRF攻擊

一。 什麼是CSRF？

CSRF（Cross-Site Request Forgery），中文名稱：Cross-site request forgery，又名：One Click Attack Session Riding，簡稱：

csrf/xsrf。

二。 CSRF可以做什麼？

這可以理解為 CSRF 攻擊：攻擊者竊取您的身份並代表您傳送惡意請求。 CSRF可以做的事情包括：

傳送電子郵件、傳送訊息、竊取您的資訊，甚至以您的名義購買商品和轉移虛擬貨幣。 問題包括：個人私隱洩露和財產安全。

三。 CSRF 漏洞狀態。

CSRF攻擊方法早在2000年就已經由國外安全人員提出，但在國內，直到06年才開始受到關注，08年，國內外一些大型社群和互動爆發了CSRF漏洞，如：紐約時報）、Metafilter（大型部落格**）、YouTube和hi...而現在，網際網絡上的許多網站仍然如此毫無防備，以至於安全行業稱CSRF為“沉睡的巨人”。

防禦 CSRF 攻擊的方法是在不使用 Web 應用程式時登出它們。 保護您的使用者名稱和密碼。 不要讓瀏覽器記住密碼。 當您在應用程式上工作並登入時，請避免瀏覽。

CSRF 攻擊可以概括如下：CSRF 攻擊者竊取您的身份並代表您傳送惡意請求。 例如，利用您傳送電子郵件、傳送訊息、竊取您、刪除您的個人資訊、購買商品、冒充虛擬貨幣或銀行轉賬。

總而言之，會造成個人私隱洩露和財產損失。

發起CSRF攻擊有兩個條件：使用者登入目標站點，瀏覽器保留使用者的登入狀態; 使用者開啟了第三方網站。

攻擊者利用登入狀態發起CSRF攻擊，而Cookie是維持登入狀態的關鍵資料，因此您可以找到防止CSRF攻擊Cookie的方法。

防禦 CSRF 攻擊：

驗證碼是防禦 CSRF 攻擊的有效方法。 其原理是每個操作都要求使用者輸入驗證碼。

CSRF攻擊是在攻擊者的攻擊站點構建網路請求，然後在使用者不知情的情況下觸發請求，同時強制驗證碼讓使用者知道當前正在操作的內容，從而達到預防的目的。

但這種方法存在乙個問題，那就是每次操作都強制使用者輸入驗證碼，所以使用者體驗不好，所以不常用，只能作為預防的輔助手段。

目前，防禦 CSRF 攻擊的策略主要有三種：驗證 HttpReferer 字段; 將令牌新增到請求位址並進行驗證。 自定義 HTTP 標頭中的屬性並進行驗證。

1）驗證httpreferrer欄位 根據HTTP協議，HTTP頭中有乙個叫做referer的字段，它記錄了HTTP請求的**位址。在通梁牌的情況下，訪問安全受限頁面的請求來自同乙個**，例如需要訪問的使用者必須先登入，然後點選頁面上的按鈕觸發轉移事件。 在這種情況下，轉移請求的 referer 值將是轉移按鈕所在頁面的 URL，通常是網域名稱開頭的位址。

而如果黑客想要對銀行進行CSRF攻擊，他只能在自己的**中構造乙個請求，當使用者通過黑客的**向銀行傳送請求時，請求的引用者被定向到黑客自己的**。 （2）CSRF攻擊之所以能成功，就是因為黑客可以完全偽造使用者的請求，並且請求中的所有使用者驗證資訊都存在於cookie中，因此黑客可以在不知道驗證資訊的情況下直接使用使用者自己的cookie通過安全驗證。 防禦 CSRF 的關鍵是在請求中包含黑客無法偽造且 cookie 中不存在的資訊。

3）自定義HTTP頭中的屬性並驗證 這個方法也是使用token並驗證，與前面的方法不同，這裡不是把token以引數的形式放在HTTP請求中，而是把它放在HTTP頭中的自定義屬性中。使用 XMLhttpRequest 類，可以一次將 CSRFToken HTTP 標頭屬性新增到所有請求中，並將令牌值放入其中。 這樣就解決了前面方法中給請求新增 token 的不便，同時通過 xmlhttprequest 請求的位址不會記錄在瀏覽器的位址列中，並且 token 會通過 referer 洩露給其他 ** 是不尊重的。

CSRF 攻擊原則 1使用者 C 開啟瀏覽器，訪問 Trusted **a，輸入使用者名稱和密碼請求登入**a; 2.使用者資訊驗證後，**a生成cookie資訊並返回給瀏覽器，此時使用者登入成功，可以正常向**a傳送請求; 3.

在使用者退出 **a 之前，在同一瀏覽器中開啟標籤頁以訪問 **b; 4.在收到使用者請求後，它會返回一些攻擊性並發出訪問第三方站點 a 的請求;

防禦 XSS 攻擊需要遵循以下原則：

在 HTML 標記之間插入不受信任的資料時，將對該資料使用 HTML 實體編碼。

將不受信任的資料插入 HTML 屬性時，請對 HTML 屬性進行編碼。

將不受信任的資料插入指令碼時，將對資料進行指令碼編碼。

將不受信任的資料插入到 style 屬性中時，CSS 會對資料進行編碼。

將受信任的資料插入 HTML URL 時，資料將進行 URL 編碼。

使用富文字時，XSS 規則引擎用於編碼篩選。

XSS 攻擊（稱為跨站點指令碼）不會與縮寫級聯樣式表 （CSS） 混淆，後者是一種經常用於 Web 應用程式的計算機安全性。

CSRF攻擊，全稱是“跨站請求偽造”，中文名稱是跨站請求偽造，又稱“一鍵式”。

攻擊“或”會話騎行“，通常縮寫為 CSRF 或 XSRF，是對 ** 的惡意利用。

XSS 主要利用站點內的受信任使用者，而 CSRF 通過偽裝自己接受受信任使用者的請求來利用受信任的使用者。 CSRF 比 XSS 更危險。

CSRF 攻擊的危害。

主要危害來自攻擊者竊取使用者身份並傳送惡意請求。 例如，模擬使用者傳送電子郵件、傳送訊息以及進行支付、轉賬等。

如何防禦 CSRF 攻擊。

1.重要的資料互動是通過郵寄方式接收的，當然，郵寄不是萬能的，偽造表格可以破解表格。

2.使用驗證碼，只要涉及資料互動，就會先進行驗證碼，這種方法家族可以完全解決CSRF。

3.出於使用者體驗的考慮，驗證碼不能新增到所有操作中，因此驗證碼只能作為輔助手段，不能作為主要解決方案。

5. 向每個表單新增乙個令牌令牌並進行驗證。 萬億 comodal。

篩選出包含js的**，網際網絡上有這樣的檔案。