风炫安全web安全学习第二十九节课 CSRF防御措施

风炫安全web安全学习第二十九节课 CSRF防御措施

CSRF防御措施

• 增加token验证

  对关键操作增加token验证，token值必须随机，每次都不一样

• 关于安全的会话管理（SESSION）

  1. 不要在客户端保存敏感信息
  2. 关闭浏览器直接销毁SESSION
  3. 设置会话过期操作，比如超过15分钟没有操作，直接销毁SESSION

• 访问控制的安全管理

  1. 敏感信息修改的时候需要二次验证，比如修改密码需要验证旧密码。
  2. 敏感信息修改使用POST，而不是GET
  3. 通过HTTP头部的REFERER来限制原来页面

• 增加验证码

参考：
http://blog.evalshell.com/2020/12/20/风炫安全web安全学习第二十九节课-csrf防御措施/