1.原理
使用者登入a** - a**確認身份 - b**向a**發起請求(帶a**身份)
cookie會保留在網頁中
2.csrf攻擊危害
www.a.com前端 <=> www.a.com後端www.b.com前端 => www.a.com後端
b**向a**請求帶a**cookies 不訪問a**前端 refer為b**
1.cookies進行設定 只是chrome支援
samesite: 'strict'
2.在前端頁面加入驗證資訊
3.驗證碼 (前後端 圖形驗證碼會降低使用者體驗)
4.token 隨機字串
post的時候校驗var csrftoken = parseint(math.random()*999999,10);
cookies.set('csrftoken',csrftoken); //放到cookies
this->ajaxreturn('要有token')
前台不用顯示 hidden
post的token 和 cookie裡面的token
如果是ajax請求
js獲取之後在後台跟cookies裡面的值對比
使用者開啟很多視窗 提交在前面的token 只有最後乙個表單可以成功提交 token在cookie中只有乙個
解決方法
$_session['session_key.$form_name']
判斷refer
1.cookie samesite屬性
2.http refer頭
3.token 乙份給cookie 乙份給表單<?php
//獲取referer頭
$csrftoken = "1231321";
setcookie('csrftoken',$csrftoken);
$_post['csrftoken'] $_cookie['csrftoken']對比
安全問題(XSS與CSRF)
一.xss 1.xss的定義 跨站指令碼攻擊 cross site scripting 縮寫為xss。惡意攻擊者往web頁面裡插入惡意script 當使用者瀏覽該頁之時,嵌入其中web裡面的script 會被執行,從而達到惡意攻擊使用者的目的。2.xss的攻擊方式 1 反射型 發出請求時,xss 出...
前端安全問題 XSS和CSRF
xss又稱css,全稱crosssitescript,跨站指令碼攻擊,是web程式中常見的漏洞,xss屬於被動式且用於客戶端的攻擊方式,所以容易被忽略其危害性。其原理是攻擊者向有 xss漏洞的 中輸入 傳入 惡意的html 當其它使用者瀏覽該 時,這段html 會自動執行,從而達到攻擊的目的。如,盜...
web安全問題彙總
web 安全問題總結 一,資料庫安全性 1,mssql資料庫安全性 l web中不允許使用sa級的使用者連線資料庫 解決方法 2,access資料庫安全性 解決方法 u 第一步 新建乙個表。u 第二步 在表中建乙個字段,名稱隨意,型別是ole物件,然後用asp 向字段中新增一條記錄寫入單位元組的 為...