web安全問題 csrf

2022-09-01 05:33:08 字數 1361 閱讀 9864

1.原理

使用者登入a** - a**確認身份 - b**向a**發起請求(帶a**身份)

cookie會保留在網頁中

2.csrf攻擊危害

www.a.com前端 <=> www.a.com後端

www.b.com前端 => www.a.com後端

b**向a**請求帶a**cookies 不訪問a**前端 refer為b**

1.cookies進行設定 只是chrome支援

samesite: 'strict'

2.在前端頁面加入驗證資訊

3.驗證碼 (前後端 圖形驗證碼會降低使用者體驗)

4.token 隨機字串

var csrftoken = parseint(math.random()*999999,10);

cookies.set('csrftoken',csrftoken); //放到cookies

this->ajaxreturn('要有token')

前台不用顯示 hidden

post的時候校驗

post的token 和 cookie裡面的token

如果是ajax請求

js獲取之後在後台跟cookies裡面的值對比

使用者開啟很多視窗 提交在前面的token 只有最後乙個表單可以成功提交 token在cookie中只有乙個

解決方法

$_session['session_key.$form_name']
判斷refer

1.cookie samesite屬性

2.http refer頭

<?php 

//獲取referer頭

3.token 乙份給cookie 乙份給表單

$csrftoken = "1231321";

setcookie('csrftoken',$csrftoken);

$_post['csrftoken'] $_cookie['csrftoken']對比

安全問題(XSS與CSRF)

一.xss 1.xss的定義 跨站指令碼攻擊 cross site scripting 縮寫為xss。惡意攻擊者往web頁面裡插入惡意script 當使用者瀏覽該頁之時,嵌入其中web裡面的script 會被執行,從而達到惡意攻擊使用者的目的。2.xss的攻擊方式 1 反射型 發出請求時,xss 出...

前端安全問題 XSS和CSRF

xss又稱css,全稱crosssitescript,跨站指令碼攻擊,是web程式中常見的漏洞,xss屬於被動式且用於客戶端的攻擊方式,所以容易被忽略其危害性。其原理是攻擊者向有 xss漏洞的 中輸入 傳入 惡意的html 當其它使用者瀏覽該 時,這段html 會自動執行,從而達到攻擊的目的。如,盜...

web安全問題彙總

web 安全問題總結 一,資料庫安全性 1,mssql資料庫安全性 l web中不允許使用sa級的使用者連線資料庫 解決方法 2,access資料庫安全性 解決方法 u 第一步 新建乙個表。u 第二步 在表中建乙個字段,名稱隨意,型別是ole物件,然後用asp 向字段中新增一條記錄寫入單位元組的 為...