北航网站建设,网上做论文的网站有哪些内容,网站与网站之间做的好坏对比,如何制作一个手机app公司的H5在软件安全测试中被检查出可能存在 CSRF 攻击#xff0c;网上找了一堆解决方法#xff0c;最后用这种方式解决了。
1、问题描述 CSRF 是 Cross Site Request Forgery的缩写(也缩写为也就是在用户会话下对某个 CGI 做一些 GET/POST 的事#xff0c;RIVTSTCNNARGO一这… 公司的H5在软件安全测试中被检查出可能存在 CSRF 攻击网上找了一堆解决方法最后用这种方式解决了。
1、问题描述 CSRF 是 Cross Site Request Forgery的缩写(也缩写为也就是在用户会话下对某个 CGI 做一些 GET/POST 的事RIVTSTCNNARGO一这些事情用户未必知道和愿意做你可以把它想做 HTTP 会话劫持。 解决方案:建议做如下安全加固: 在 Web 应用程序侧防御 CSRF 漏洞一般都是利用referer、token 或者验证码。
2、问题现象 实际上我们查看这个问题也就发现系统存在使用post方式 使用referer参数请求腾讯网这个网址会出现不安全的问题。
3、解决方案 直接从nginx上面考虑直接禁掉referer这个参数请求在nginx.conf中添加下面参数 valid_referers none blocked server_names;
if ($invalid_referer) {return 403;
} //这里要注意的是if后面必须有空格要不然会导致你的nginx起不来。
