Web应用安全：CSRF防范辅助性对策.pptx

CSRF防范辅助性对策 CSRF防范辅助性对策 1、CSRF主要防范对策 CSRF的主要防范对策有以下几点： 1、验证 HTTP Referer 字段。 2、在请求地址中添加token并验证。 3、在HTTP 头中自定义属性并验证。 4、AngularJS提供的CSRF方案. 2、CSRF的常见防范辅助性对策 1、增加验证码。 2、cookies设置sameSite。 3、客户端安装浏览器插件。 4、更换登录态方案。 CSRF防范辅助性对策 2、CSRF的主要防范对策 1、增加验证码 CSRF的一个特点是：伪造请求不经过网站A。那么我们可以通过增加网站A的验证手段，例如增加图形验证码或短信验证码等等，只有通过验证的请求才算合法。但是这种方案拥有两个局限性，一个是增加开发成本，另外一个是降低用户体验。 CSRF防范辅助性对策 2、CSRF的主要防范对策 2、cookies设置sameSite 对于CSRF的第二个特点：伪造请求的域名不是网站A。那么通过限制cookies不被其他域名网站使用,来达到防御的目的，具体的做法是：cookies设置sameSite属性的值为strict，这样只有