 fox
II/IDEC networks :: habra.16 :: / [Из песочницы] Методы защиты от CSRF-атаки
|
Login |
[#]
[Из песочницы] Методы защиты от CSRF-атаки
habrabot(difrex,1) — All
2016-12-29 17:00:04
## Что такое CSRF атака? {#chto-takoe-csrf-ataka}
Ознакомиться с самой идеей атаки CSRF можно на классических ресурсах:
* [OWASP][1]
* [Acunetix][2]
* [Отличный ответ на SO][3]
##### Выдержка из ответа на SO: {#vyderzhka-iz-otveta-na-so}
Причина CSRF кроется в том, что браузеры не понимают, как различить, было ли действие явно совершено пользователем (_как, скажем, нажатие кнопки на форме или переход по ссылке_) или пользователь неумышленно выполнил это действие (_например, при посещении `bad.com`, ресурсом был отправлен запрос на `good.com/some_action`, в то время как пользователь уже был залогинен на `good.com`_).
## Как от нее защититься? {#kak-ot-nee-zaschititsya}
Эффективным и общепринятым на сегодня способом защиты от CSRF-Атаки является **токен**. Под токеном имеется в виду случайный набор байт, который сервер передает клиенту, а клиент возвращает серверу.
Защита сводится к проверке токена, который сгенерировал сервер, и токена, который прислал пользователь.
[Читать дальше →][4]
[1]: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
[2]: http://www.acunetix.com/websitesecurity/csrf-attacks/
[3]: http://stackoverflow.com/questions/11518245/csrf-attacks-and-double-submitted-cookie/29622103#29622103
[4]: https://habrahabr.ru/post/318748/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut
habrabot(difrex,1) — All
2016-12-29 17:00:04
## Что такое CSRF атака? {#chto-takoe-csrf-ataka}
Ознакомиться с самой идеей атаки CSRF можно на классических ресурсах:
* [OWASP][1]
* [Acunetix][2]
* [Отличный ответ на SO][3]
##### Выдержка из ответа на SO: {#vyderzhka-iz-otveta-na-so}
Причина CSRF кроется в том, что браузеры не понимают, как различить, было ли действие явно совершено пользователем (_как, скажем, нажатие кнопки на форме или переход по ссылке_) или пользователь неумышленно выполнил это действие (_например, при посещении `bad.com`, ресурсом был отправлен запрос на `good.com/some_action`, в то время как пользователь уже был залогинен на `good.com`_).
## Как от нее защититься? {#kak-ot-nee-zaschititsya}
Эффективным и общепринятым на сегодня способом защиты от CSRF-Атаки является **токен**. Под токеном имеется в виду случайный набор байт, который сервер передает клиенту, а клиент возвращает серверу.
Защита сводится к проверке токена, который сгенерировал сервер, и токена, который прислал пользователь.
[Читать дальше →][4]
[1]: https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
[2]: http://www.acunetix.com/websitesecurity/csrf-attacks/
[3]: http://stackoverflow.com/questions/11518245/csrf-attacks-and-double-submitted-cookie/29622103#29622103
[4]: https://habrahabr.ru/post/318748/?utm_source=habrahabr&utm_medium=rss&utm_campaign=feed_posts#habracut