系统架构

安全架构

CRSF攻击防范

简介
CRSF(Cross-site request forgery),意味跨站请求伪造。使用该攻击技术,恶意攻击者可以获取用户的信息,模拟用户对网站进行访问,以达到攻击的目的。如图
F4446C8F-7D7F-499F-93A1-FC1A6D68861E

解决方案
1.http设置http-only
    开启该选项后,则js无法获取浏览器中的cookie
2.增加_token校验
    主要是在表单中增加一个token的字段,该字段值会随着表单提交一起提交到服务器,当服务器接收到表单数据时,会对token字段值进行校验,不通过则不往下进行,从而保证表单提交的安全性。类似于这种验证的机制,在Laravel中是内置的。
3.增加Http的refer识别
    http中存在一个refer字段,如果某些页面的上一个请求是固定的(比如是xxx.com/goods/new),那么就可以去检查refer(比如检查是不是xxx.com/goods/new),从而保证请求是正确的。