网络安全是现代社会中不可忽视的一个问题，而其中DDoS攻击和CSRF攻击是常见的两种漏洞类型，下面进行介绍。

DDoS攻击，是指分布式拒绝服务攻击（Distributed Denial of Service），目的是通过向目标服务器发送大量流量，使其无法响应主要流量。攻击者可以通过操纵组织成为“僵尸网络”的大量计算机对目标服务器进行攻击。DDoS攻击的主要危害在于它可以导致网站瘫痪，造成业务中断和数据丢失，严重的甚至会使企业破产。为了防止DDoS攻击，企业需要加强对网络安全的监控和预警能力，应用多层次的防御措施，例如：对网络流量进行分析和过滤、使用反向代理进行负载均衡等。

CSRF攻击，是指跨站请求伪造攻击（Cross-site Request Forgery），也称之为“CSRF”或“XSRF”。攻击者通过伪造用户的身份，向目标网站发送请求来攻击网站。这种攻击方式通常需要用户在伪装成正常请求的表单提交上进行操作，攻击后果可能会导致网站数据泄露、用户账户被盗或系统被破坏。企业应采取以下安全措施来防范CSRF攻击：使用CSRF防护框架、验证HTTP请求来源、使用验证码程序等方法。

跨站请求伪造攻击是指攻击者通过某种方式在用户不知情的情况下，伪造用户的身份提交请求。攻击者利用用户的已登录状态通过欺骗用户将多个数据提交到目标服务器上以触发不同的指令。它是常见的Web漏洞之一，并且可以导致严重的安全问题，例如数据泄露和损坏，钓鱼等。

如何防御CSRF攻击漏洞？

向服务器发送时如果AST随机令牌：

CSRF攻击通常涉及的是伪造请求，利用浏览器的cookie和一些其他凭据来假冒用户来提交虚假的或恶意的请求。可选的方法是在用户进行敏感操作之前，随机生成和下发一些安全哈希令牌。这个CSRF令牌被嵌入到HTML表单数据正文中并一起提交到服务器。服务器将校验请求发送者和接收者中的CSRF令牌作为请求是否为有效请求的一部分。

使用服务端会话校验：

使用服务端SESSION可以有效减少CSRF攻击。服务端会话是存储在服务端的一些变量，用于跟踪用户的站点活动。例如，在用户登录后，会在服务端设置一个会话，并且跟踪这个会话与请求的关系。如果会话不存在，或是CSRF令牌不匹配，服务器将不会执行敏感请求。这对于那些没有存储在客户端的验证信息通常是非常有效的。

检查请求来源

如果浏览器请求源不是所期望的URL，则不执行敏感操作。因为可以访问请求的地址不一定是私人网络。只向发起请求的原始源进行请求是一个好的习惯。

CSRF攻击处理的重点就是保证请求的发送者和接受者能够正确匹配，而接受者还需要对CSRF令牌的变更进行校验。上面列出的方法都可以减小CSRF伪造请求的风险。企业可以结合实际情况选择适合的防范措施，保护企业不受CSRF攻击伤害。

// 2023