csrf攻击解读与防御

1、csrf攻击的解读

      csrf(cross-site request forgory)中文全程跨站点请求伪造。攻击者盗用你的身份，以你的名义恶意发布请求。这个问题是很严重，可能会泄露你的个人隐私，更甚至于财产的安全。

2、crsf攻击的原理（模拟用户操作）

      （1）用户A浏览并登录信任的网站A

      （2）验证通过，并返回一个cookie给用户A的浏览器

      （3）用户在没有登出的情况下，访问网站B

      （4）网站B页面嵌有访问网站A的请求

      （5）应网站B的请求，浏览器带着网站A返回的cookie访问网站A

      （6）网站A不知道这是网站B盗用用户A的信息提出的请求，就处理了，达到了模拟用户操作的要求

3、crsf防御 

  （1）方案一：

            a、服务器在cookie中添加一个变量，并赋值一段字符串

            b、页面获取字符串，并通过隐藏的方式将该字符串传递给后台

            c、服务器判断有无字符串

         结论：有字符串，说明不是模拟的，没有则说明是crsf攻击

         备注：安全系数很高，但是还是有点点隐患，这段字符串可能被盗

    （2）方案二：（验证码）

            要提交的页面通过验证码进行验证

    （3）方案三：在页面生成密码，传给后台作处理