????????公司的H5在軟件安全測(cè)試中被檢查出可能存在 CSRF 攻擊，網(wǎng)上找了一堆解決方法，最后用這種方式解決了。

1、問(wèn)題描述

????????CSRF 是 Cross Site Request Forgery的縮寫(xiě)(也縮寫(xiě)為也就是在用戶(hù)會(huì)話(huà)下對(duì)某個(gè) CGI 做一些 GET/POST 的事，RIVTSTCNNARGO一這些事情用戶(hù)未必知道和愿意做，你可以把它想做 HTTP 會(huì)話(huà)劫持。

????????解決方案:建議做如下安全加固: 在 Web 應(yīng)用程序側(cè)防御 CSRF 漏洞，一般都是利用referer、token 或者驗(yàn)證碼。

2、問(wèn)題現(xiàn)象

? ? ? ? 實(shí)際上我們查看這個(gè)問(wèn)題也就發(fā)現(xiàn)系統(tǒng)存在使用post方式 使用referer參數(shù)請(qǐng)求騰訊網(wǎng)這個(gè)網(wǎng)址會(huì)出現(xiàn)不安全的問(wèn)題。

3、解決方案

? ? ? ? 直接從nginx上面考慮，直接禁掉referer這個(gè)參數(shù)請(qǐng)求，在nginx.conf中添加下面參數(shù)：

valid_referers none blocked server_names;
if ($invalid_referer) {return          403;
}

? ? ? ? //這里要注意的是：if后面必須有空格，要不然會(huì)導(dǎo)致你的nginx起不來(lái)。