微信小程序现状发展,小程序性能监控平台有哪些
787
2022-09-12
电商安全无小事,如何有效地抵御 CSRF 攻击?
首先,我们需要弄清楚 CSRF 是什么。它的全称是 Cross-site request forgery ,翻译成中文的意思就是「跨站请求伪造」,这是一种对网站的恶意利用。简单而言,就是某恶意网站在我们不知情的情况下,以我们的身份在你登录的某网站上胡作非为——发消息、买东西,甚至转账......
这个过程到底是怎样的呢?让我们看个简单而鲜活的案例。
银行网站 A,它以 GET 请求来完成银行转账的操作,如:
危险网站 B,它里面有一段 HTML 的代码如下:
可能会发生什么?你登录了银行网站 A,然后访问危险网站 B 以后,突然发现你的银行账户少了10000块......
为什么会这样呢?原因是在访问危险网站 B 之前,你已经登录了银行网站 A,而 B 中的以 GET 的方式请求第三方资源(这里的第三方就是指银行网站了,原本这是一个合法的请求,但这里被不法分子利用了),所以你的浏览器会带上你的银行网站 A 的 Cookie 发出 GET 请求,去获取资源
结果银行网站服务器收到请求后,认为这是一个合理的转账操作,就立刻转账了......
相信,很多人了解到这儿,会出现一身冷汗,还让不让我们在「双11」期间能够愉快地享受网购的快感了?难道没有什么办法防住它嘛?
发表评论
暂时没有评论,来抢沙发吧~