CSRF攻击

CSRF攻击

CSRF（Cross-site request forgery，跨站请求伪造）

它是指攻击者利用了用户的身份信息，执行了用户非本意的操作

防御方式

防御手段	防御力	问题
不使用cookie	⭐️⭐️⭐️⭐️⭐️	兼容性略差 ssr会遇到困难，但可解决
使用sameSite	⭐️⭐️⭐️⭐️	兼容性差 容易挡住自己人
使用csrf token	⭐️⭐️⭐️⭐️⭐️	获取到token后未进行操作仍然会被攻击
使用referer防护	⭐️⭐️	过去很常用，现在已经发现漏洞

面试题

介绍 csrf 攻击

CSRF 是跨站请求伪造，是一种挟制用户在当前已登录的Web应用上执行非本意的操作的攻击方法

它首先引导用户访问一个危险网站，当用户访问网站后，网站会发送请求到被攻击的站点，这次请求会携带用户的cookie发送，因此就利用了用户的身份信息完成攻击

防御 CSRF 攻击有多种手段：

1. 不使用cookie
2. 为表单添加校验的 token 校验
3. cookie中使用sameSite字段
4. 服务器检查 referer 字段