什么是 CSRF 攻击?
CSRF(Cross-site request forgery)攻击是一种常见的网络攻击方式,攻击者通过构造恶意请求,欺骗用户在已登录的情况下执行某些操作,从而达到攻击目的。
例如,攻击者构造了一个恶意页面,在用户登录了某个网站 A 后,让用户在不知情的情况下访问该页面。该恶意页面中包含一个被攻击网站 A 的请求地址,在用户进入该页面后,恶意页面自动向该地址发送请求,从而执行一些危险操作,如删除数据、转账等。
CSRF 攻击的防御措施
CSRF 攻击很容易被忽略,但可以通过以下一些措施来防御:
1. 随机令牌
通过生成令牌并将其嵌入到表单或请求中,确保请求只能通过此令牌来验证。
示例代码:
<form method="post" action="/do-something">
<input type="hidden" name="_csrf" value="{{ csrfToken }}">
<!-- form fields -->
</form>fastify.register(require('fastify-csrf'), {
sessionPluginName: 'fastify-session'
})
fastify.get('/', (req, reply) => {
const csrfToken = req.csrf()
// ...
})2. 检查来源
对于 Post 和 Put 等具有副作用的操作,可以通过检查请求是否来自预期的来源(如同一个网站或特定的域名)来防止 CSRF 攻击。
示例代码:
-- -------------------- ---- -------
---------------------------------------------------- -------- ----- -- -
-------------------------------- ----- ------ ----- -- -
----- ------ - ------------------ -- -------------------
-- ------- -- ----------------------------------------- -
------
- ---- -
------------------------
-
--
------
---3. Cookie(SameSite 属性)
SameSite 是一种 Cookie 属性,可以通过指定其值为 strict 或 lax 来限制设置 Cookie 的方式。当值为 strict 时,Cookie 不会被发送到任何跨站点请求中;当值为 lax 时,只有当用户点击了链接跳转到一个新页面时,Cookie 才能被发送到跨站请求中。
示例代码:
-- -------------------- ---- -------
-------------------------------------------
---------------- ----- ------ -- -
----- ---- - -
----- ----
------- -----
--------- -----
--------- ------
-
---------------------- ------ -----
--结论
虽然 CSRF 攻击可能不是所有项目都需要考虑的主题,但了解并实现防范攻击的措施是很重要的。在使用 Fastify 框架开发应用程序时,可以使用以上上述措施来防范 CSRF 攻击。
来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/676f6b6de9a7045d0d72a87f