预防跨站点假冒请求攻击

跨站点假冒请求(CSRF)是利用网页应用程序的隐式认证处理进行入侵的攻击。这些攻击也被称为基于网页漏洞的"沉睡的巨人",因为互联网上的许多网站不能抵御这类攻击,并且网页开发者和安全社区一直严重忽视它们。描述了三种基本的CSRF,希望网页开发者注意这类攻击,并且介绍了一些能预防CSRF攻击的方法。

基于随机化参数名的跨站请求伪造防御方法

传统基于客户端的防御方法存在用户体验与兼容性差的问题,容易产生误报和漏报现象,不能有效地防御跨站请求伪造(CSRF)攻击。为此,提出一种对请求参数名随机化的防御方法。通过对网站的统一资源定位器地址中的参数名称,如Form表单中的参数名进行可逆加密,确保在一次会话交互过程中的所有请求的参数名都被随机化,防止攻击者获取参数名信息实施CSRF攻击。基于该方法设计并实现了开源PHP库,并部署在开源的PHP程序上。实验结果证明,与基于Token方法相比,该方法能够更有效地防御CSRF攻击。