我们先来了解下token是如何防止CSRF漏洞的,
当你每次请求修改个人信息的时候,后端就会调用一个函数,(下图是个简单实例)
防范CSRF措施
增加token验证(常用的做法):
1、对关键操作增加token参数,token值必须随机,每次都不一样;
关于安全的会话管理(避免会话被利用):(我们之前说过CSRF的攻击必须是登录态)
1、不要在客户端保存敏感信息(比如身份认证信息);
2、测试直接关闭,退出时,的会话过期机制;
3、设置会话过期机制,比如15分钟内无操作,则自动登入超时;
访问控制安全管理:
1、敏感信息的修改时需要对身份进行二次认证,比如修改账号时,需要判断旧密码;
2、敏感信息的修改尽量使用post,而不是get;(post的安全性比get高些)
3、通过http 头部中的referer来限制原页面(比如修改个人信息的referer必须来自本域,不能是其他域的或者没有referer)
增加验证码(也可以看成 小token但需要人机交互):
一般用在登录(防暴力破解),也可以用在其他重要信息操作的表单中(需要考虑可用性)