关于CSRF防御

Lime
  • 14

我希望对我的登录页面进行CSRF防御,但我不知道应该怎么做
现在页面使用的是axios+腾讯验证码(用了AJAX)

回复
阅读 1.2k
3 个回答

1.通过 referer、token 或者 验证码 来检测用户提交。
2.尽量不要在页面的链接中暴露用户隐私信息。
3.对于用户修改删除等操作最好都使用post 操作 。
4.避免全站通用的cookie,严格设置cookie的域。

添加特有的 header 头,后台只接收有该 header 头的请求。且验证其值。
添加对请求 refferer 来源的验证,非自己的通通拒绝请求。
设置 access control allow origin 为需要的几个网站。或者根本不开放跨域请求。

可以使用token和签名双重验证,这个需要前端和服务端配合使用的。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
你知道吗?

宣传栏