目前预防CSRF攻击的常用手段如下。 使用认证码。 目前许多网站都采用这种方式,不仅可以防止CSRF攻击,而且可以防止恶意频繁提交表单。
使用token令牌可以在服务器端生成token,每次前端向后端发送请求时,它都会检查该token是否拥有token并自己生成,否则它会阻止该请求。
验证HTTP Referer,验证http请求头的Referer字段的值,即验证请求中的源站点地址,如果不包含在白名单中,则作为伪造请求。
在http请求标头中添加自定义属性,实际上与验证token类似,但在此不将token作为请求参数,而是将其放入http请求标头中。
请尽量使用post提出要求。 get请求特别容易被攻击,所以简单地修改请求地址就可以了。
目前,一些前端框架,如AngularJS等提供了自己的CSRF防范方案
不同的站点防止CSRF攻击的方法可能不同。 有些网站为了安全起见,组合使用了几种方法。
与像XSS这样简单的转义可以防止CSRF不同,CSRF必须与服务器端合作进行处理。 通常利用referer、token或认证码将持久性身份验证更改为每次身份验证以实现防御。 实现的方法很多,但思路都是在客户端添加随机数,然后在下次请求时重新提交。