什么是CSRF攻击?该如何防范?

老男孩IT教育

常见问题

2023年2月8日 09:09

CSRF全称为Cross Site Request Forgey，即跨站域请求伪造，是一种常见的网络攻击方式，它在2007年曾被列为互联网20大安全隐患之一，那么CSRF攻击是什么?该如何有效防范呢?以下是详细的内容：

　　CSRF全称为Cross Site Request Forgey，即跨站域请求伪造，是一种常见的网络攻击方式，它在2007年曾被列为互联网20大安全隐患之一，那么CSRF攻击是什么?该如何有效防范呢?以下是详细的内容：

网络安全培训学校

　　什么是CSRF攻击?

　　跨站点请求伪造，指攻击者通过跨站请求，以合法的用户的身份进行非法操作。

　　可以这么理解CSRF攻击：攻击者盗用你的身份，以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件，发短信，进行交易转账，甚至盗取账号信息。

　　如何有效防范CSRF攻击?

　　1、安全框架，例如Spring Security。token机制。

　　2、在HTTP请求中进行token验证，如果请求中没有token或者token内容不正确，则认为CSRF攻击而拒绝该请求。

　　3、验证码。通常情况下，验证码能够很好的遏制CSRF攻击，但是很多情况下，出于用户体验考虑，验证码只能作为一种辅助手段，而不是最主要的解决方案。

　　4、referer识别。在HTTP Header中有一个字段Referer，它记录了HTTP请求的来源地址。如果Referer是其他网站，就有可能是CSRF攻击，则拒绝该请求。但是，服务器并非都能取到Referer。很多用户出于隐私保护的考虑，限制了Referer的发送。在某些情况下，浏览器也不会发送Referer，例如HTTPS跳转到HTTP。

　　更多网络安全内容，推荐关注老男孩教育网络安全培训课程。老男孩网络安全培训课程由经验丰富的老师亲自授课，针对不同阶段的学员制定不同进度的课程，脱产班、周末班、网络班总有一款适合你。想学网络安全，点击链接(https://www.oldboyedu.com/video_library.html)进入网络安全自学视频开始学习吧。

　　推荐阅读：

　　安全审计的目的是什么?其类型都有哪些？

　　网络安全中的常用专业术语详解!

　　如何提高服务器的安全性?老男孩网络安全培训