关于CSRF的理解

参考: http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

现象:

  1. 浏览器在登录 网站A 时, 通常会产生cookies, 以便于下次可以不需要重复登录, 或者保持登录.
  2. 这个时候, 如果浏览器去请求了一个 危险的网站B, B网站的页面里, 可能是一个往 网站A发送 转账操作(比如把你的银行卡里1000元转到什么地方) 的请求, 请求的同时也会带上cookies, 这样就算是一次CSRF(挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法)
  3. 钱没了

解决方法:

  1. 服务器在给浏览器发送 转账操作 页面时,会附带一个随机数, 在发送转账操作请求时, 必须带上这个随机数, 验证成功后, 才能正确执行转账操作, 此时, 危险网站B因为无法得到那个随机数, 所以无法完成转账请求(其实稍微努力一下, 还是可以破解的)
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容