為了避免自己撰寫出具有安全風險的程式碼而仍不自知,就挑上這堂 從 OWASP Top 10 實現全方位防禦強化 課程。這邊筆記 CSRF 的風險。
課程相關資訊
[連結]:https://hiskio.com/courses/1539/lectures/146897
本篇範圍:Chapter 5
請注意:本系列文章為個人對應課程的消化吸收後,所整理出來的內容。換言之,並不一定會包含全部的課程內容,也有可能會添加其他資源來說明。
內容
1. CSRF 攻擊是指「跨站請求偽造」。當使用者點擊或是瀏覽惡意網站、信件時,因使用者已在網站驗證過身分,而後端伺服器並未針對發起請求的來源進行過濾或是進一步驗證,而選擇直接相信 Cookie 、傳來的 header 內容或是網域來源,便會觸發這個攻擊成功的可能
2. 可透過「額外的圖形驗證」、「檢查 Referer」、「檢查 CSRF token」、「將 cookie 由後端加上 Samesite 設置」、「CORS」等方式來主動進行防範
