好的,关于 CSRF 攻击,我给你详细讲讲:
CSRF(Cross-Site Request Forgery)跨站请求伪造攻击,又叫“跨站点请求伪造”或“跨站请求伪造”。
它指的是: 攻击者诱导用户在已经登录的可信网站,执行非本意的操作。
换句话说,就是利用用户登录状态,在用户不知情的情况下,让用户浏览器帮攻击者发送恶意请求。
| 方法 | 说明 |
|---|---|
| CSRF Token(同步令牌) | 在表单或请求头中加入随机 Token,服务器验证 Token 是否有效。Token 必须与用户会话绑定且不可预测。 |
| Referer 校验 | 检查请求来源是否来自本站域名,但依赖 Referer,兼容性和安全性有限。 |
| SameSite Cookie 属性 | 设置 Cookie 的 SameSite 属性为 Strict 或
Lax,防止跨站请求携带 Cookie。 |
| 双重验证 | 重要操作时要求输入密码、验证码等,增加安全门槛。 |