Cross Site Request Forgery 跨站请求伪造
当用户访问恶意网站时,恶意网站可以通过链接跳转的方式,引导用户访问被攻击网站,
因为用户可能最近刚刚访问过被攻击网站,浏览器携带其缓存的合法cookie让用户访问,
cookie中保存了客户的认证信息,用户从而不需要重新认证。
此过程实际上是恶意网站假借用户的真实身份,实现恶意的意图。
防范的策略如下:
- 通过对Referer可以实现这种跨域的跳转检测,但是因为Referer字段是在浏览器段填入,此字段可以被篡改。
- 通过添加无关cookie的方式,在服务器端验证,因为跳转的请求没法包含cookie信息,被视为无效访问。
关于Referer
HTTP请求头字段 Refer标识着该请求是从哪来的,也就是引起该请求的上一个请求连接,其内容是上一个请求的url完整路径。
在有些网站的设计中,该字段被用来防盗链,即网站会检测该字段内容,并依据url中的domain信息判断是否给予返回,通常网站仅仅允许url domain为本网站domain的才正常回复。
该字段可以为空,也就是没有Referrer,直接在浏览器中输入网址来访问网站。
该字段是由浏览器在发起请求时填入,可以选择不带referer。通过不同的referer policy控制。
标签:浏览器,请求,网站,用户,访问,cookie,关于,CSRF From: https://www.cnblogs.com/zongzw/p/18244809