大地资源网视频在线观看新浪,日本春药精油按摩系列,成人av骚妻潮喷,国产xxxx搡xxxxx搡麻豆

今天來說說“跨站請求偽造攻擊（Cross-site request forgery）"。

跨站請求偽造攻擊，簡稱CSRF攻擊。與跨站腳本攻擊（Cross Site Scripting，簡稱XSS）有點類似，其攻擊的核心要素都是“欺騙"。區別在于XSS竊取了用戶對網站的信任，CSRF則是竊取了服務器對用戶瀏覽器的信任。

（關于“跨站腳本攻擊"介紹，請點擊上方“收錄話題"進行了解。）

較為典型的CSRF攻擊例如“銀行網站轉賬"攻擊，用戶登陸銀行A網站完成轉賬操作后，在瀏覽器“身份"信息未失效前，攻擊者通過某種手段誘使用戶打開CSRF攻擊B網站，此時B網站可以插入一條經過特殊構造的URL，其中包含A網站的地址與轉賬命令。而A網站的服務器此時檢測到剛剛轉完賬的用戶帶著“身份"信息又來了，系統會判定這是本人在操作，同意本次的交易請求。用戶在毫不知情的情況下，就被攻擊者利用本地信息轉走了存款。

CSRF造成的危害還有很多，攻擊者能夠“欺騙"受害用戶完成該受害者所允許的任一狀態改變的操作，比如：更新賬號細節、完成購物、注銷甚至登錄等操作。CSRF攻擊雖然隱秘，但天融信Web應用防火墻（TopWAF）防御CSRF攻擊有妙招！

大家都知道在HTTP報頭中有一個Referer字段，字段中記錄了HTTP請求的來源地址，正常情況下Referer字段應和請求的地址位于同一域名下。但如果是CSRF攻擊傳來的請求，Referer攜帶的地址則會是CSRF攻擊網站的地址。

天融信Web應用防火墻可通過驗證用戶HTTP請求的Referer字段實現對CSRF攻擊進行抵御。如果發現訪問網站的HTTP請求的Referer字段記錄的URL并非原網站的URL，則判定發送該HTTP請求的用戶可能遭受攻擊者的CSRF攻擊，根據CSRF策略的動作處理該HTTP請求。

“道"高一尺，“魔"高一丈？

驗證Referer字段過于依賴瀏覽器發送正確的Referer字段，同時無法保證用戶使用的瀏覽器沒有安全漏洞影響導致Referer字段被篡改。

“魔"高一尺，“道"高一丈！

天融信Web應用防火墻可為用戶端設置一個偽隨機數作為驗證的Token信息，Token信息會隨客戶端提交的請求頭傳輸到服務器進行校驗，正常訪問時，客戶端瀏覽器可正常獲取并傳回此偽隨機數，而在CSRF攻擊中，攻擊者無法獲取此偽隨機數的值，天融信Web應用防火墻就會因校驗Token的值為空或者錯誤，根據CSRF策略的動作處理該HTTP請求。

作為的網絡安全企業，天融信多年來在技術上持續創新突破，持續為客戶Web站點安全提供更好的安方案，為客戶的Web應用安全保駕護航。