概述
学习了Spring Security权限框架后,讲到了csrf攻击的东西,前后端不分离还好,我直接每次加载页面就发送token,然后我服务端的token存储在redis中就行,每次请求我都更新token,达到安全的访问。
但是前后端不分离的时候,难道要前端每次都单独请求一次后端获取token吗?然后带着token再去访问后端?
那么单独的这一次请求后端怎么知道是非攻击呢?
这查了好多都没有有效的方法!
在知乎上一个大佬说:
前端直接加密生成一个token,后端收到token后解密,但是后端怎么知道解密的就是安全的东西呢?
还有,如果设置了token的失效时间为半个小时呢?每次请求都带着这个长期的token去请求后端,这个可行吗?
想了好久,我还没能想出来一个比较合适的思路去解决这个问题,大家有什么高见呢?
2020年12月29日更新
上面的问题从一开始就不是成立的,token是用户使用用户名和密码登录之后才会生成的,并且有过期时间,其他的攻击行为我觉着是无法获取到token的,除非有登录用户自己使用token来攻击,那就攻击呗,反正我有token做幂等性,恶意的请求也翻不了什么浪,而且有权限框架在,一些权限不够的请求是直接拦截的,再过分点,一个高权限的用户来搞事情,大量相同ip请求过来,直接可以在权限框架中token那部分给他屏蔽了,他的ip获取不了token了,显示给他账号冻结!完事~
最后
以上就是懵懂夏天为你收集整理的前后端分离的防御csrf攻击的思路的全部内容,希望文章能够帮你解决前后端分离的防御csrf攻击的思路所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复