今天，owasp漏洞列表的前十名成员-CSRF

概念

关于这个概念，我们不多说，让我们来谈谈CSRF(跨站请求伪造)的原理，中文名称：跨站请求伪造;

背景知识

1.页面请求：熟悉htnl的学生知道有很多方法可以请求页面请求，常见的例子有：ajax，js甚至图像请求的onload事件

，此处不一一介绍(因为这不是重点)

2，消费网站的实现原则：主流消费网站都应通过请求参数(获取或发布)实现消费;

例如：一个论坛可以消耗积分来兑换礼物。登录后，用户可以填写表格(参数：要交换的礼物，收件人地址，收件人信息...)，然后发布到服务器，服务器可以进行简单的cookie验证，通过后生成订单信息，扣除相应积分，并跟进快递礼品;

因此，当浏览器解释html时，将发出此请求。如果服务器没有进行特殊处理，它将仅在用户登录并完成订单时验证植入的cookie，以便黑客张三免费免费兑换奖品;

上面的例子更为极端。真正的消费者网站不使用get处理付款请求，但是如果将其替换为帖子怎么办?如果服务器不采取预防措施，“张三只需要稍微更改恶意页面的代码就可以完成相同的工作”

如何捍卫

防御csrf攻击的常用方法如下：

将包含当前时间戳的加密令牌字段添加到cookie，服务器在接收到消费请求时会检查cookie的令牌;

消费请求添加图片验证码，服务器验证验证码;

检查消耗请求的引用并过滤非官方域的消耗请求;

Web安全漏洞的类型很多，每种漏洞都涉及许多前端和服务器端内容，并且还有许多变体。欢迎留言讨论各种安全漏洞的原理和防御方法;

标签:Web安全漏洞