跨站请求伪造的防范方法有哪些？

针对跨站请求伪造攻击，常用的防范方法有以下几种：

1. 添加验证码：在表单提交时增加验证码的校验，可以有效防止攻击者利用脚本发起攻击。

2. 隐藏域法：在表单中添加一个不被用户看到的隐藏域，提交表单后后台验证该隐藏域是否为空，如果为空，说明该请求可能是伪造的，可以拒绝该请求。

3. 验证 Referer 头部信息：在服务器端对请求的 Referer 头部信息进行验证，如果来源不正确，则拒绝该请求。

4. 在请求中添加 token：在用户登录时生成一个唯一的 token，每次表单提交时在请求中带上该 token，并在后台进行校验，如果 token 验证失败则说明请求可能被篡改，可以拒绝该请求。

以上是常见的防范方法，并不是说采取了这些方法就可以完全避免跨站请求伪造攻击。需要根据具体情况采取相应的防范措施。

相关问题

跨站请求伪造 CSRF的原理与应用

CSRF（Cross-Site Request Forgery）跨站请求伪造是一种网络攻击方式，攻击者通过某些手段欺骗用户在受信任的网站上执行非预期的操作，从而实现攻击目的。

攻击原理：

攻击者在受害者的浏览器中注入一个恶意代码，使得受害者在访问攻击者的网站或点击恶意链接时，会触发恶意代码向受信任网站发送请求，从而达到攻击的目的。

攻击应用：

1. 邮箱钓鱼

攻击者在邮件中嵌入一个图片标签，然后在图片的 URL 中携带了一个恶意请求，当用户打开邮件时，图片就会自动加载，从而触发恶意请求。

2. CSRF 攻击恶意网站

攻击者可以将恶意代码嵌入到自己的网站中，当用户访问恶意网站时，恶意代码会自动向受信任站点发送请求进行攻击。

3. 跨域攻击

攻击者可以在其他域名下的网站中，嵌入一个恶意代码，当用户在受信任站点中进行操作时，恶意代码就会向其他域名下的网站发送请求，从而达到攻击目的。

防范措施：

1. 验证请求来源

在服务器端校验请求是否来自受信任的站点，如果请求不是来自受信任站点，则拒绝请求。

2. 加入随机令牌

在表单中加入一个随机生成的 token ，然后在服务器端校验表单提交时所带的 token 是否一致，如果不一致，则拒绝请求。

3. 使用验证码

在敏感操作中，使用验证码来防止自动化攻击。

4. 浏览器加入 SameSite 属性

设置 cookie 的 SameSite 属性，限制 cookie 只能在同站点下发送，从而防止跨站请求伪造攻击。

如何防范XSS（跨站脚本攻击）、CSRF（跨站请求伪造）

对于防范XSS攻击，可以采取以下措施：

1. 对输入进行过滤和验证，可以使用开源库或者自定义方法实现。
2. 对输出进行转义，确保不会执行危险脚本。
3. 使用HTTPOnly和Secure标记来保护cookie。
4. 存储敏感信息时，采用加密的方式以防止数据泄露。

对于防范CSRF攻击，可以采取以下措施：

1. 使用随机的、短生命周期的令牌来防范攻击。
2. 验证HTTP Referer头部,检查请求来源。
3. 如果没有必要，就不要采用HTTP GET方式传递敏感信息，而是采用HTTP POST方式，因为POST方式对于攻击者来说更难仿造。
4. 检查请求方式是否正常，防止恶意请求。