paip.提升安全性--CRSF跨站请求伪造的检测与防范
作者Attilax , 1466519819@qq.com
在用户的重要活动中,要防止CRSF攻击。。
比如修改密码时
转账时
删除资料时
修改资料时
有以下几种方法可以防范。。
1.比如在转账时,要求用户输入交易密码..
2..操作时使用验证码,用户体验不好。。
3.显示确认页面。
4.修改密码时,显示当前用户名,并要求用户输入原密码进行验证..
5.使用自动标识验证,强烈推荐这个方式...
也就是说在请求的时,需要发送一个标识符进行签名认证..这个标识符在每个URL和窗体都不同。。。一次性使用..攻击者无法伪造..要确定同样的操作每个用户的标识是不同的..
生成方法:
sign=hash(username+key+param)..
这样用户就无法伪造SIGN。此外可以使用动态KEY。。这样更安全,有效时间可设定在两小时左右。。过期作废...