csrf攻击

跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。

参考慕课手记

原理

在用户登陆站点B的前提下,从站点A,避开站点B的前端,发送请求到站点B。

防止手段

  • same-site
//用header 函数来设置cookie samesite
header('Set-Cookie:test=1234;SameSite=Lax');
  • referer
$_SERVER['HTTP_REFERER'];//referer头
//通过referer头来判断用户发送请求来源
  • 验证码
    用户每次访问,或提交数据,必须输入一个验证码

  • token
    应用于"anti csrf攻击",则服务器端会对Token值进行验证,判断是否和session中的Token值相等,若相等,则可以证明请求有效,不是伪造的。
    针对于每个用户,生成token,存储在session中以验证,不需要每次变化。

你可能感兴趣的:(csrf攻击)