cspb（csp报名时间2024）

## CSPB: 解密跨站请求伪造防御机制### 简介跨站请求伪造（Cross-Site Request Forgery，CSRF），是一种常见的网络攻击方式，它利用用户已登录的身份，在用户不知情的情况下，发送恶意请求。CSPB (Content Security Policy with Back-end) 是一种结合了前端和后端的防御机制，可以有效地防御 CSRF 攻击。### CSPB 工作原理CSPB 的工作原理可以分为两个部分：1.

前端设置 Content Security Policy (CSP)

：

通过在 HTTP 响应头中添加 `Content-Security-Policy` 字段，网站可以限制页面加载资源的来源。

例如，设置 `script-src 'self'` 可以限制页面只能加载来自同一域名下的脚本文件，从而阻止恶意网站注入脚本。

但是，CSP 无法完全防御 CSRF 攻击，因为它只能限制资源加载的来源，无法阻止恶意请求的发送。2.

后端验证请求来源

:

为了弥补 CSP 的不足，CSPB 引入了后端验证机制。

服务器会在每个请求中嵌入一个随机生成的 token，并验证请求中的 token 是否与服务器端存储的 token 一致。

由于攻击者无法获取到服务器生成的 token，因此无法伪造合法的请求。### CSPB 的优势

安全性高

: CSPB 结合了前端和后端的防御机制，可以有效地防御 CSRF 攻击。

易于部署

: 大多数主流的 Web 框架都提供了对 CSPB 的支持，开发者可以方便地集成到现有的应用程序中。

用户体验好

: CSPB 的防御机制对用户透明，不会影响用户的正常操作。### CSPB 的实现1.

生成 Token

: 服务器端在用户登录时生成一个随机的 token，并将其存储在服务器端的 Session 中。2.

嵌入 Token

: 服务器端在响应用户的请求时，将 token 嵌入到 HTML 表单或 JavaScript 代码中。3.

验证 Token

: 当用户提交表单或发送 AJAX 请求时，服务器端会验证请求中携带的 token 是否与服务器端存储的 token 一致。### 总结CSPB 是一种有效的 CSRF 防御机制，它结合了前端和后端的优势，可以有效地保护用户的安全。开发者应该在 Web 应用程序中部署 CSPB，以提高应用程序的安全性。