• 防止跨站攻击——CSRFToken

    发布于2019-02-21
  • 怎么防止跨站攻击:

    表单:在 Form 表单中添加一个隐藏的的字段,值是 csrf_token。

    非表单:在ajax获取数据时,添加headers:{ 'X-CSRFToken':getCookie('csrf_token') }。

    原理:在浏览器访问网站A时,网站A设置cookie会增加随机值csrf_token,这个值是随机的。返回给浏览器时,cookie会储存在浏览器,同时会把csrf_token传给表单里面的隐藏字段。所以当浏览器用自己的表单时会自带csrf_token,网站A取到这个值和cookie里的csrf_token一致就通过。而网站B里面的表单没有这个值,所以不能通过,这样就阻止了恶意攻击。非表单也是这样的原理。

    CSRFProtect(app)
      上一步的作用:    # 开启CSRF保护(不会设置随机值。只会对比随机值,没有或错误都无法访问路由

                                   # 从现在起,程序会获取cookie中的随机值,以及从表单或者ajax中获取随机值,进行对比

                                   # 如果对比失败,则无法访问路由

                                   # 后续需要设置随机值到cookie中,以及增加ajax中的headers

    表单:在 Form 表单中添加一个隐藏的的字段,值是 csrf_token。

    <form method="post">
    <input type="hidden" name="csrf_token" value="{{ csrf_token }}">
    <label>账户:</label><input type="text" name="to_account" placeholder="请输入对方账户"><br/>
    <label>金额:</label><input type="number" name="money" placeholder="请输入转账金额"><br/>
    <input type="submit" value="转账">

    </form>

    非表单:在ajax获取数据时,添加 headers:{ 'X-CSRFToken':getCookie('csrf_token') }。

           $.ajax({
            url:"/passport/login",
            method: "post",
            data: JSON.stringify(params),
            contentType: "application/json",
            headers:{
                'X-CSRFToken':getCookie('csrf_token')
            },
            success: function (resp) {
                if (resp.errno == "0") {
                    // 刷新当前界面
                    location.reload();
                }else {
                    $("#login-password-err").html(resp.errmsg)
                    $("#login-password-err").show()
                }
            }
        })
    

    作者:CSDN-gdj
    来源:CSDN
    原文:https://blog.csdn.net/guodejie/article/details/80778135
    版权声明:本文为博主原创文章,转载请附上博文链接!