防御CSRF问题

防御CSRF问题

CSRF，Cross-site request forgery，跨站点请求伪造。

所以，应对CSRF攻击，就有两个方面：

1、针对get请求，检查请求的referer，看是否来源于本站点； 2、针对post，使用token进行校验。

对第一点，可以创建-。

第二点，可以使用随机token来进行验证表单的真实性。

原理为： 1）表单初始化时，服务器端输出一个随机token，放置于表单内一个隐藏控件里 2）表单提交时，会将隐藏控件内的token值一起提交 3）服务器端检查这个提交上来的token，如果不存在或者与服务器留底的token对应不上，则说明表单伪造

asp- mvc的应对表单提交CSRF之策就是这样。只不过它有简约的语句和特性，不用我们纯手工的作坊模式： 1）在视图的form里放置一句：​​​@Html.AntiForgeryToken()​​​。其实输出到浏览器后就是一个隐藏控件，内含token值。 2）在控制器里接收post的action前加上特性：​​​[ValidateAntiForgeryToken]​​，其实就是校验token。

相关拙作：​​Web安全​​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。