CSRF 攻擊

CSRF / XSRF 攻擊

CSRF 是什麼

  • 全名叫 Cross-Site Request Forgery
  • 是一種點擊攻擊(Click Attack)與連線控制(Session Riding),或稱連線綁架(Session Hijacking)
  • 利用路由信息協議 (Routing Information Protocol;RIP) 的漏洞,以及 DNS (Domain Name Server) 下毒的方式,讓使用者在連往目的網頁前,先被帶到駭客伺服器。

安全的做法

  • 同時用兩個 cookie
    • Cookie: seesion-xxxxxx
    • X-XSRF-Token: xjk2kzjdddd
  • 檢查 Origin Header

延伸閱讀

results for ""

    No results matching ""