前面說到XSS跨站腳本攻擊,現在來個複雜度更高一點的CSRF跨站請求僞造;
首先說一下RSRF的幾個要點:
1. RSRF是通過各種方法(站內發佈鏈接,qq郵箱發佈鏈接等),讓登錄用戶觸發請求,在用戶不覺察的過程中對用戶數據進行篡改,進而實現攻擊;
2. 通過XSS可以獲取到用戶的session_id,進而欺詐服務器,因此xss只是rsrf的實現途徑之一;
防止方法:
1. 對於某些敏感的請求,禁用get方法,只對post方法進行放行;
2. 使用“請求令牌”,禁止無令牌的請求訪問;
3. 啓用httponly的響應頭設置,讓C端js無法訪問cookie;