通过建立Web服务器和HTML5环境来验证HTML5受到CSRF攻击全过程,并提出相应的CSRF漏洞检测和防御方式。在CSRF攻击验证和检测方面,通过构建攻击脚本验证CSRF攻击,并引入Rational AppScan进行CSRF漏洞检测;在CSRF攻击防御方面,提出利用验证码验证、验证HTTP Referer字段、添加token方式进行CSRF防御。可以看出,尽管提出的CSRF防御方式在很大程度抵御大部分攻击,但实际应用过程中,需要结合相关情况选定合适的防御策略来降低CSRF的危害。

• 单位
  陕西工业职业技术学院