CSRF 攻击
一、认识
CSRF(跨站请求伪造) 攻击利用受害者已登录状态, 在用户不知情的情况下伪造请求,从而执行恶意操作。为了防止 CSRF,我通常采用多层防护措施。首先,我会使用 CSRF Token,确保每个敏感请求都携带一个随机生成的 Token,并在服务器端校验其有效性;其次,配置 Cookie 的 SameSite 属性,限制跨站请求时 Cookie 的自动携带;此外,在服务器端还会校验请求头中的 Referer 或 Origin,确保请求来自可信域;对于无状态应用,还可采用双重 Cookie 验证。通过这些综合手段,可以有效阻断 CSRF 攻击,保护用户数据和业务安全。
二、问题
2.1 认识 CSRF 攻击, 如何预防 CSRF 攻击?
同上