什么是網(wǎng)絡攻擊？遭到網(wǎng)絡攻擊如何解決？

隨著智能手機的興起，越來越多的人開始接入互聯(lián)網(wǎng)，同時，以此為基礎的灰產(chǎn)也在蒸蒸日上。雖然幾乎全社會都浸淫在移動互聯(lián)網(wǎng)中，但技術(shù)對他們來說是透明的。對于可用性上來說，這是極好的，能夠使得老幼婦孺都能享受到這種便利，但另一方面，由于對技術(shù)的不了解，就仿佛隨時有無形的殺手潛伏在周圍，毫無還手之力。

僅關于“點擊鏈接”，就有各種詐騙相關的新聞，不勝枚舉。其中最聳人聽聞的是：由于點擊了釣魚鏈接，導致銀行賬戶直接被洗劫一空。在這個新聞首次被報道時，我媽噤若寒蟬，這些在她眼中似乎都是魔法。那時的我就十分好奇，騙子真有如此神通嗎?畢竟人人都得遵循基本的物理呀。

如何解決：

第一種方式，既然沒有驗證請求的發(fā)起服務器，那么我們能不能在通信協(xié)議中規(guī)定一個屬性，即請求者的來源?答案是肯定的，在HTTP header中，有一個Refer屬性，即記錄了請求者的地址，服務器后端只要驗證這個Refer屬性的值是否在白名單中即可。

這種方式簡單方便，而且它可以與已有的系統(tǒng)解耦，不需要改動其他模塊。我以為這樣就可以了，但是現(xiàn)實世界往往是復雜的，還有很多其他的因素需要考量。

Refer方式不被常用的原因在于：「Referer 值會記錄下用戶的訪問來源，有些用戶認為這樣會侵犯到他們自己的隱私權(quán)，特別是有些組織擔心 Referer 值會把組織內(nèi)網(wǎng)中的某些信息泄露到外網(wǎng)中。因此，用戶自己可以設置瀏覽器使其在發(fā)送請求時不再提供 Referer。當他們正常訪問銀行網(wǎng)站時，網(wǎng)站會因為請求沒有 Referer 值而認為是 CSRF 攻擊，拒絕合法用戶的訪問?！苟?，現(xiàn)在Refer值好像也可以篡改了。

第二種方式，從上面的流程可以得知，攻擊者無法拿到用戶的Cookie，也無法拿到服務器返回的數(shù)據(jù)(同源策略)，他能做的只是偽造用戶請求。而上文原因之二在于，服務端難以確定表單是用戶主動提交，還是在不自知的時候被動提交的。那么，我們可以在請求中加入攻擊者難以偽造的元素。