CSRF攻击与防范

利用cookie属性

cookie可以设置HttpOnly,这样js脚本就无法通过Document.cookie后去cookie,可以防止XSS攻击;
cookie可以设置Secure(cookie只有https加密了才能发送给服务端),可以应对中间人攻击

但是仍然不建议cookie中存放敏感信息,页面脚本还可以通过键盘输入捕获信息;

cookie还可以设置SameSite=Strict,浏览器只在访问相同站点才发cookie

以上功能都要依靠浏览器厂商支持,黑客完全可以使用老版本浏览器漏洞来截获cookie信息,

Oauth2.0

现在比较流行的方案是Oauth2.0,用token取代cookie&session的验证方式。

csrf攻击&web防范手段
csrf攻击&session&cookie
csrf攻击&防范策略

你可能感兴趣的:(CSRF攻击与防范)