如何避免CSRF攻击 ?
最新回答
朵朵奇葩向阳开#
2023-10-31 01:52:20
不使用网银。所谓的无招胜有招,我既然不用网银,黑客也就自然巧媳妇难为无米之炊了。(just a joke:))
定期修改密码。定期修改密码永远是安全学中最提倡的一个方法。
访问敏感网站(比如信用卡、网银等)后,主动清理历史记录、cookie记录、表单记录、密码记录,并重启浏览器才访问其他网站。
保持浏览器更新补丁,尤其是安全补丁。同时也要留意操作系统、杀毒、防火墙等软件的更新。
不要上来历不明的网站,推荐使用ms ie7的站点认证功能或者google toolbar之类辨识非法的网站。
使用某些带有“隐私浏览”功能的浏览器,比如Safari。“隐私浏览”功能可以让用户在上网冲浪时不会留下任何痕迹, 浏览器不会存储cookie和其它任何资料。从而CSRF也拿不到有用的信息。
ie8把它叫做“InPrivate浏览”。Chrome称作“Incognito模式”。
如果浏览器提示“链接和证书域名不匹配”的警告信息时,请不要继续浏览,立即关闭浏览器或者返回上一页(如果您是网页开发者或者黑客,当我没有说)。
管理好浏览器的cookie。比如在IE6.0中,打开“工具->Intern
林间有雌雄
2021-05-02 20:06:27
2、使用验证码,只要是涉及到数据交互就先进行验证码验证,这个方法可以完全解决CSRF。
3、出于用户体验考虑,网站不能给所有的操作都加上验证码,因此验证码只能作为一种辅助手段,不能作为主要解决方案。
4、验证HTTP Referer字段,该字段记录了此次HTTP请求的来源地址,最常见的应用是图片防盗链。
5、为每个表单添加令牌token并验证。
热门标签
