如何防止跨站點偽造(Prevent Cross-Site Forgery)?
跨站點偽造(XSRF或CSRF)也稱為跨站點請求偽造、會話騎乘和一鍵式攻擊等多種名稱,是一種難以防止的網站攻擊類型。它通過誘使web瀏覽器向遠程服務器發送未經授權的命令來進行操作。跨站點偽造攻擊僅對以下用戶有效:使用真...
跨站點偽造(XSRF或CSRF)也稱為跨站點請求偽造、會話騎乘和一鍵式攻擊等多種名稱,是一種難以防止的網站攻擊類型。它通過誘使web瀏覽器向遠程服務器發送未經授權的命令來進行操作。跨站點偽造攻擊僅對以下用戶有效:使用真實的憑據登錄網站;因此,注銷網站是一種簡單而有效的預防措施。Web開發人員可以使用隨機生成的令牌來幫助防止此類攻擊,但是應該避免檢查推薦者或依賴cookies。手持計算機的人通常會利用跨站點偽造漏洞,以web瀏覽器為目標進行所謂的“混淆副手攻擊”。瀏覽器認為是代表用戶行事,卻被欺騙向遠程服務器發送未經授權的命令。這些命令可能隱藏在網頁標記代碼中看似無害的部分,這意味著試圖下載圖像文件的瀏覽器實際上可能正在向銀行、在線零售商或社交網站發送命令。一些瀏覽器現在包括了旨在防止跨站點偽造攻擊的措施,第三方程序員已經創建了缺乏這些措施的擴展或插件。在首選客戶端中關閉超文本標記語言(HTML)電子郵件也是一個好主意,因為這些程序也容易受到跨站點偽造攻擊。因為跨站點偽造攻擊依賴于合法登錄的用戶考慮到這一點,防止此類攻擊的最簡單方法之一就是簡單地注銷您已使用完的網站。許多處理敏感數據的網站,包括銀行和經紀公司,在一段時間不活動后會自動執行此操作。其他網站則采取相反的方法,允許用戶持續登錄數天或數周雖然您可能會覺得這很方便,但它確實會使您受到CSRF攻擊。請查找“在此計算機上記住我”或“讓我登錄”選項并將其禁用,并確保在完成會話后單擊“注銷”鏈接。對于web開發人員,消除跨站點偽造漏洞是一項特別具有挑戰性的任務。檢查引用者和cookie信息并不能提供太多保護,因為CSRF利用合法的用戶憑據,而且這些信息很容易被欺騙。更好的方法是每次隨機生成一個一次性令牌用戶登錄,并要求用戶發送的任何請求都包含令牌。對于購買或資金轉賬等重要請求,要求用戶重新輸入用戶名和密碼有助于確保請求的真實性
- 發表于 2020-08-07 16:32
- 閱讀 ( 613 )
- 分類:電腦網絡
你可能感興趣的文章
- 什么是實時時鐘(Real-Time Clocks)? 797 瀏覽
- 如何選擇最好的顯示芯片組(Choose the Best Display Chipset)? 462 瀏覽
- 什么是國家電信(National Telecommunications)? 531 瀏覽
- 什么是MSI芯片組(MSI Chipset)? 844 瀏覽
- MMO文化有什么特點(Characteristics of MMO Culture)? 718 瀏覽
- 什么是WebGL瀏覽器(WebGL™ Browser)? 675 瀏覽
- 什么是ArcGIS軟件(ArcGIS&Reg; Software)? 817 瀏覽
- 什么是單臂路由器(One-Armed Router)? 1011 瀏覽
- 如何保持顯卡的最佳溫度(Maintain the Best Video Card Temperature)? 587 瀏覽
- 什么是電子郵件欺騙(Email Spoofing)? 1404 瀏覽
- 自閉癥軟件有哪些不同類型(Different Types of Autism Software)? 641 瀏覽
- 如何將FLV轉換為DAT(Convert FLV to DAT)? 537 瀏覽
- 什么是IP多媒體子系統(IP Multimedia Subsystem)? 885 瀏覽
- 有哪些不同類型的上網本外殼(Different Types of Netbook Cases)? 519 瀏覽
- 什么是富互聯網應用程序(Rich Internet Application)? 1281 瀏覽
- 如何處理壞主板(Deal with a Bad Motherboard)? 563 瀏覽
- 什么是最佳編碼實踐(Best Coding Practices)? 613 瀏覽
- 如何選擇最好的社交網絡軟件(Choose the Best Social Networking Software)? 530 瀏覽
- 什么是并發版本系統(Concurrent Versions System)? 620 瀏覽
- 什么是調查權力條例法案(Regulation of Investigatory Powers Act)? 888 瀏覽
- CPU修復的最佳技巧是什么(Best Tips for CPU Repair)? 597 瀏覽
- 什么是柏林噪音(Perlin Noise)? 1206 瀏覽
- 如何執行驅動程序掃描(Perform a Driver Scan)? 641 瀏覽
- 什么是大聲思考協議(Think Aloud Protocol)? 3113 瀏覽
- 如何將MOV轉換為SWF(Convert MOV to SWF)? 656 瀏覽
- Arduino有哪些不同類型的駕駛員(Different Types of Arduino® Drivers)? 546 瀏覽
- 什么是三重標簽(Triple Tag)? 662 瀏覽
- 什么是2D OpenGL(2D OpenGL®)? 675 瀏覽
- 數碼照片處理的最佳技巧是什么(Best Tips for Digital Photo Processing)? 538 瀏覽
- 什么是鏈接數據結構(Linked Data Structure)? 577 瀏覽
相關問題
0 條評論
請先 登錄 后評論
admin
0 篇文章
作家榜 ?
-
xiaonan123
189 文章
-
湯依妹兒
97 文章
-
luogf229
46 文章
-
jy02406749
45 文章
-
小凡
34 文章
-
Daisy萌
32 文章
-
我的QQ3117863681
24 文章
-
華志健
23 文章
推薦文章
- 什么是身份驗證服務器(Authentication Server)?
- 什么是協議轉換器(Protocol Converter)?
- 什么是磁盤轉移(Disk Staging)?
- 如何選擇最好的點對點程序(Choose the Best Peer to Peer Programs)?
- 如何選擇最好的流媒體軟件(Choose the Best Streaming Media Software)?
- 如何將MKV轉換為Xvid(Convert MKV to Xvid)?
- 什么是地理編碼軟件(Geocoding Software)?
- 什么是動態規劃(Dynamic Programming)?
- 間諜軟件和病毒清除的最佳技巧是什么(Best Tips for Spyware and Virus Removal)?
- 什么是自定義網頁設計(Custom Web Design)?
- 什么是網絡嗅探器(Network Sniffers)?
- 什么是標準掉期(Standard Swap)?
- 如何保存流媒體(Save Streaming Media)?
- 反釣魚軟件有哪些不同類型(Different Types of Anti-Phishing Software)?
- 什么是社交網絡腳本(Social Networking Scripts )?
- 什么是MBean(MBean)?
- HTML到PSD轉換的最佳提示是什么(Best Tips for HTML to PSD Conversion)?
- 如何將AVI轉換為DivX(Convert AVI to DivX&Reg;)?
- 什么是面向語言的編程(Language-Oriented Programming)?
- 什么是HTML腳本(What HTML Scripts)?
- 什么是逆向計算(Retrocomputing)?
- 什么是運行時錯誤(Run-Time Error)?
- 如何將FLV轉換為VCD(Convert FLV to VCD)?
- 什么是交換機網絡圖(Switch Network Diagram)?
- 什么是活動博客(Event Blog)?
- 什么是家具設計軟件(Furniture Design Software)?
- 什么是分時度假軟件(Timeshare Software)?
- 什么是訪問方法(Access Method)?
- 什么是整數轉換(Integer Conversion)?
- 什么是互聯網訴訟(Internet Litigation)?