甚么是CSRF攻击
CSRF(Cross-SiteRequestForgery)攻击是一种利用受害者在已登录的情况下履行非期望操作的攻击方式。攻击者会捏造一个要求,通过用户认证保护机制,让受害者不知不觉中提交了一些歹意要求。和其他攻击方式相比,CSRF攻击常常被忽视,但其危害性很大,攻击者可以通过这类方式获得用户的敏感信息,发起一些歹意操作,比如租赁商品,删除记录等等。
Java如何避免CSRF攻击
在Java中主要有两种方式来避免CSRF攻击,分别是SynchronizerTokenPattern和DoubleSubmitCookiePattern。
这类方法是在服务器端生成一个唯一的随机值(Token),将其存储在服务器端session中,并且将该值返回给客户端,通常为在form表单隐藏字段中。当客户端提交表单时,服务器端会验证该Token会不会合法,如果合法则履行要求,否则谢绝要求。这类方式相对较为安全,但要求对利用进行较大改造。
这类方法更加简单,而且对利用系统的改造较小。在这类方式中,服务器端在生成HTML页面时,会将Token放在Cookie中,并且同时在form表单中添加一个隐藏字段,该字段的值就是上文所提到的Token的值。当客户端提交要求时,服务器端会将收到的Token值和Cookie中的Token值进行比较,如果一致则履行要求,否则谢绝要求。
其他防范CSRF攻击的技能
除上面提到的两种方式,还可以通过其他方式来增强利用系统的安全性,比如检查referer值、使用验证码、限制同一ip访问等等。这些都是可以根据具体情况来选择的,一般来讲越多的保护措施,利用系统越安全。
桂(哥(网(络www.gUIgEge.cn
TikTok千粉号购买平台:https://tiktokusername.com/
TOP