Web应用安全：CSRF防范对策.pptx

CSRF防范对策 1、什么是CSRF 我们再来重温下CSRF的定义：CSRF英文全称是：Cross Site Request Forgery，中文是：跨站点请求伪造。CSRF攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。 2、CSRF的主要防范对策 CSRF的主要防范对策有以下几点： 1、验证 HTTP Referer 字段。 2、在请求地址中添加token并验证。 3、在HTTP 头中自定义属性并验证。 4、AngularJS提供的CSRF方案。 CSRF防范对策 2、CSRF的主要防范对策 1、验证 HTTP Referer 字段 HTTP头中的Referer字段记录了该 HTTP 请求的来源地址。在通常情况下，访问一个安全受限页面的请求来自于同一个网站，而如果黑客要对其实施 CSRF攻击，他一般只能在他自己的网站构造请求。因此，可以通过验证Referer值来防御CSRF 攻击。 CSRF防范对策 2、CSRF的主要防范对策 2、在请求地址中添加token并验证 CSRF 攻