💡
wiki
  • Home
  • http
    • http protocol
    • http with https
    • http websocket
    • http cookie
    • http cors
    • http csrf
    • http server detail
    • http security
    • http headers
  • nethttp
    • nethttp request
    • nethttp server
    • nethttp server source
    • nethttp awesome
  • frame
    • frame of nethttp
    • frame of golang http
    • eudore frame
  • eudore
    • eudore application
    • eudore config
    • eudore logger
    • eudore server
    • eudore router
    • eudore router radix
    • eudore context
    • eudore handler
    • eudore controller
  • golang
    • golang basic
    • golang godoc
    • golang signal
    • golang reflect
Powered by GitBook
On this page
  • 实现
  • 防范
  • 同源检测
  • CSRF Token
  • 双重Cookie验证
  • SameSite

Was this helpful?

  1. http

http csrf

跨站请求伪造(Cross-site request forgery)

挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

实现

1、用户在A站登陆,浏览器记录Cookie等信息。

2、用户在B站触发了一个A站的请求,请求发送时附带了A站Cookie,访问控制通过,成功请求未知请求。

防范

CSRF两点必要情况,跨域和使用Cookie。

两者缺一不可,可以通过这两点来防范。

同源检测

http request header中,可以使用Origin Header和Referer Header来知道发送请求的来源。

在服务端检查请求来源页面,将非法来源的请求直接拒绝,但是对外链这样的无法处理。

http请求发送Referer Header,websocket建立连接请求发送Origin Header。

https默认不发送Referer Header,需要在html head中添加meta标签来发送Referer,如下meta。

但在某些情况下可以隐藏或者丢失Referer,并不可靠

CSRF Token

利用第三方网站无法跨越读取cookie。

在请求中添加csrdid,cookie中也有csrfid,在服务端检查csrdid是否一致。

双重Cookie验证

类似CSRFToken,会将一个cookie值将到请求中。

SameSite

SameSite是跨域cookie发送规则。

在set-cookie时,添加SameSite=Strict,静止跨域发送cookie。

Previoushttp corsNexthttp server detail

Last updated 4 years ago

Was this helpful?