CSRF 방어 방법은 무엇입니까?

王林
풀어 주다: 2020-06-29 09:08:44
원래의
22220명이 탐색했습니다.

Csrf 방어 방법은 다음과 같습니다. 1. HTTP Referer 필드를 확인합니다. 2. 요청 주소에 토큰을 추가하고 확인합니다. 3. HTTP 헤더의 속성을 사용자 지정하고 확인합니다. CSRF는 사용자가 현재 로그인되어 있는 웹 애플리케이션에서 의도하지 않은 작업을 수행하도록 강제하는 공격 방법입니다.

CSRF 방어 방법은 무엇입니까?

csrf는 현재 로그인된 웹 애플리케이션에서 사용자가 의도하지 않은 작업을 수행하도록 강제하는 공격 방법입니다.

csrf 방어 방법:

현재 CSRF 공격을 방어하는 세 가지 주요 전략이 있습니다:

1. HTTP 참조자 필드를 확인합니다.

2. 요청 주소에 토큰을 추가하고

3. HTTP 헤더에서 확인합니다.

자세히 살펴보겠습니다.

(1) HTTP Referer 필드 확인

HTTP 프로토콜에 따르면 HTTP 헤더에는 Referer라는 필드가 있는데, HTTP 요청의 소스 주소를 기록합니다. 일반적으로 보안이 제한된 페이지에 대한 액세스 요청은 동일한 웹사이트에서 시작됩니다. 해커가 은행 웹사이트에 CSRF 공격을 구현하려는 경우 자신의 웹사이트에서만 요청을 구성할 수 있습니다. 사용자가 해커의 웹사이트를 통해 은행에 요청을 보내면 요청의 리퍼러는 해커의 웹사이트를 가리킵니다. .

따라서 CSRF 공격을 방어하기 위해 은행 웹사이트는 각 전송 요청에 대한 추천자 값만 확인하면 됩니다. 도메인 이름이bank.example로 시작하는 경우 해당 요청이 은행 웹사이트 자체에서 온 것임을 의미합니다. 합법적인. 추천자가 다른 웹사이트인 경우 해커에 의한 CSRF 공격일 수 있으며 요청이 거부됩니다.

이 방법의 분명한 이점은 구현이 간단하고 쉽다는 것입니다. 일반 웹 사이트 개발자는 마지막에 보안에 민감한 모든 요청에 ​​인터셉터를 추가하기만 하면 됩니다. 참조자 값. 특히 현재 기존 시스템의 경우 기존 시스템의 코드나 로직을 변경할 필요가 없고 위험도 없으며 매우 편리합니다.

(2) 요청 주소에 토큰 추가 및 검증

CSRF 공격이 성공한 이유는 해커가 사용자의 요청을 완전히 위조할 수 있기 때문입니다. 요청에 포함된 모든 사용자 확인 정보가 쿠키에 존재하기 때문입니다. 은(는) 이러한 인증정보를 알지 못해도 이용자가 보유한 쿠키를 직접 이용하여 보안인증을 통과할 수 있습니다.

CSRF에 저항하려면 해커가 위조할 수 없는 정보를 요청에 넣는 것이 핵심이며, 이 정보는 쿠키에 존재하지 않습니다. 무작위로 생성된 토큰을 HTTP 요청에 매개변수로 추가하고, 서버 측에 인터셉터를 구축하여 요청에 토큰이 없거나 토큰 내용이 잘못된 경우 발생할 수 있다고 간주됩니다. CSRF 공격이 발생하면 요청이 거부됩니다.

(3) HTTP 헤더의 속성을 사용자 정의하고 확인합니다.

이 방법도 토큰을 사용하여 확인합니다. 이전 방법과 달리 토큰은 매개 변수 형식으로 HTTP 요청에 배치되지 않습니다. HTTP 헤더의 사용자 정의 속성에 넣으십시오. XMLHttpRequest 클래스를 통해 이 유형의 모든 요청에 ​​csrftoken HTTP 헤더 속성을 한 번에 추가하고 여기에 토큰 값을 넣을 수 있습니다.

이것은 이전 방법에서 요청에 토큰을 추가하는 불편함을 해결함과 동시에 XMLHttpRequest를 통해 요청한 주소는 브라우저의 주소 표시줄에 기록되지 않으며 토큰이 유출될 염려가 없습니다. 추천자를 통한 다른 웹사이트.

그러나 이 방법에는 큰 한계가 있습니다. XMLHttpRequest 요청은 일반적으로 Ajax 메서드에서 페이지의 부분 비동기 새로 고침에 사용됩니다. 모든 요청이 이 클래스로 시작하기에 적합한 것은 아니며 이 클래스 요청을 통해 얻은 페이지는 브라우저에서 기록할 수 없으므로 앞으로, 뒤로. , 새로 고침 등이 수행될 수 있으며, 수집 및 기타 작업은 사용자에게 불편을 끼칩니다.

또한 CSRF 보호 기능이 없는 레거시 시스템의 경우 보호를 위해 이 방법을 사용하려면 모든 요청을 XMLHttpRequest 요청으로 변경해야 합니다. 이렇게 하면 전체 웹사이트가 거의 다시 작성됩니다.

더 많은 관련 사항을 알고 싶으시면 php 중국어 웹사이트를 방문하세요.

위 내용은 CSRF 방어 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿