web安全问题 csrf攻击怎么防御?
前言
我们在前端面试过程中遇到的另一个最多的问题就是web安全了,这次我们来聊聊CSRF攻击。CSRF是一种常见的攻击,但是也是web安全中最容易被忽略的一种攻击方式。下面话不多说了,来一起看看详细的介绍吧。
什么是CSRF(跨站点请求伪造)
根据字面意思,大概能猜到,CSRF攻击就是攻击者伪造了用户的请求,在用户不知道的情况下,以用户的名义向服务器发送恶意请求。常见的场景是,用户首先登陆一个正常(下面称为被攻击网站)的网站,攻击者诱使用户在不关闭被攻击网站的同时打开攻击者的页面,这时攻击者就可以以用户的名义给被攻击网站发送恶意请求了。可以看出CSRF是有条件的,首先用户要登陆被攻击网站,并生成Cookie,然后在不登出被攻击网站的同时,访问攻击网站。这两个条件缺一不可。
CSRF进阶
浏览器Cookie策略
CSRF之所以能成功,主要还是因为用户的浏览器成功发送了Cookie的缘故。浏览器所持有的Cookie分为两种:一种是“Session Cookie”,又叫“临时Cookie”;另一种是“Third-party Cookie”,也称为“本地Cookie”。
Third-party Cookie,服务器在Set-Cookie时指定了Expire时间,只有到了Expire时间后Cookie才会失效,而Session Cookie则没有指定Expire时间,浏览器关闭后就失效了。如果浏览器从一个域的页面中,要加载另一个域的资源,由于安全原因,某些浏览器会阻止Third-party Cookie的发送。由于新打开的页面和原来的页面在同一个浏览器进程中,所以Session Cookie将会被发送。
IE浏览器处于安全考虑是禁止浏览器在、
ripper病毒怎么删除?U盘里的ripper病毒无法删除怎么办?
电脑,软件DiskGenius下载地址:softs 19980 html1、打开DiskGenius软件,左面找到你的U盘,选定它。2、单击上方的‘硬盘’选项。3、选择其中的‘重建主引导记录’4、选择其中的‘清除
详情2018-01-15 19:00:15责编:llp 来源:驱动管家木马捆绑器有哪些?什么是资源包裹捆绑器?
一、传统的捆绑器这种原理很简单,也是目前用的最多的一种。就是将B exe附加到A exe的末尾。这样当A exe被执行的时候,B exe也跟着执行了。这种捆绑器的代码是满网都是。我最早是从jingtao的一篇关于流的文章中得
详情2018-01-19 13:32:37责编:llp 来源:驱动管家mcafee企业版8.8怎么设置规则防范病毒?
McAfee大企业版规则之强,天诺时空现有规则之厉,相信大家已有所见闻与实践。但是否真的滴水不漏、固若金汤,相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点,引导有一定基础的新手和有兴趣的朋友构
详情2018-01-21 09:02:39责编:llp 来源:驱动管家关闭135 445端口该怎么做?关闭135 445端口的步骤
135端口主要用于使用RPC(RemoteProcedureCall,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。端口说明:135端口主要用于使用RPC(RemoteProcedureCall,远程过程调用)协议并提供DCOM(分布式组件
详情2018-01-14 14:03:30责编:llp 来源:驱动管家什么是ipc?什么是空会话?
ipc$一 摘要网上关于 ipc$入侵的文章可谓多如牛毛,攻击步骤甚至已经成为了固化的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。不过话虽这样说,我认为这些文章讲解的并不详细,一些内容甚至是错
详情2018-01-05 09:04:38责编:llp 来源:驱动管家win7系统如何隐藏文件夹?创建带密码隐藏文件夹
Win7系统下如何创建带密码隐藏的文件夹保护个人隐私文件,按以下步骤进行操作:1、首先创建一个文件夹,并命名为“隐藏文件”;2、然后打开该文件夹,然后在窗口空白处右击鼠标选择“新建→ 文本文档”命令创
详情2018-01-19 10:19:55责编:llp 来源:驱动管家电子邮件怎么加密?电子邮件有哪些加密方法?
针对电子邮件的犯罪案件越来越多,用户在享受电子邮件快捷便利的服务同时还要承受邮件泄密带来的后果,有些邮件泄密后果并不严重、有些却是灾难性的。为了提高邮件信息的安全性,目前有效的方法是进行邮件加密,
详情2018-01-08 16:02:57责编:llp 来源:驱动管家破解rar密码有什么方法?可以使用rar password cracker软件破解rar密码
当一个非常重要的RAR文件因为忘记密码无法解压缩时,你是不是就这样抛弃它了呢?当然不是,你可以使用RAR Password Cracker这个软将加密的RAR文件破解出来。安装后运行程序里的RAR Password Cracker Wizard
详情2018-01-14 14:03:37责编:llp 来源:驱动管家无线数据加密的原理是什么?无线数据加密的方法
你肯定不会设计一个没有防火墙的互联网接入的网络。因此,你怎么会架设一个没有加密的无线网络?理解无线加密对于部署一个安全的无线网络是非常重要的。无线传输的安全类似于一个书面信息。有各种各样的方法来发
详情2018-01-02 22:38:07责编:llp 来源:驱动管家怎么改ip地址?改ip地址的具体步骤
第一步:右键点击桌面“网络”,单击“属性”,出现如下“网络和共享中心”。(图 1)第二步:在对应的网络连接右边点击“查看状态”。(也可以点击“管理网络连接”,如果您是通过有线的方式连接路由器,右键单
详情2018-01-06 17:39:19责编:llp 来源:驱动管家
- zol中关村在线博客子站有漏洞?修复的方案是什么?
- 谷歌浏览器总是被篡改主页怎么办?谷歌浏览器主页篡改解决办法
- 什么是烧饼修改器?烧饼修改器怎么用?
- 一招教你快速给你的lg手机恢复出厂设置
- 笔记本电脑充电的时候提示电源已接通未充电是什么情况?
- 特洛伊木马病毒是怎么启动的?木马病毒的六种启动方式介绍
- 电脑c盘的config.msi文件可以删除吗?怎么删除
- 一加5t发布会的主要内容 一加5t发布会邀请函图
- 苹果4如何截屏?苹果4截屏的方法有很多
- 电脑内存和处理器不可用是什么意思?电脑内存和处理器不可用怎么解决?
- 任务管理器打不开可以怎样解决?解决任务管理器打不开的办法
- 管理员密码破解很简单!无需攻击lsass进程就可以破解
- asp.net基础教程 使用asp.net加密口令保护用户数据安全
- 百度手机输入法怎么新增表情包?百度手机输入法表情包怎么添加?
- 无线路由器穿墙怎么设置才好?小米路由器穿墙信号怎么设置?
- 手机锂电池充电的一些相关的知识详解
- 怎么识别哪些没有相关型号名称的电源ic
- psd文件打不开并且还提示无法完成请求有什么办法解决
- 不知道怎么更改文件类型?win7电脑可以利用这个方法
- 手机刷机后开不了机怎么办?手机变砖可以这样解决