csrf(Cross-site request forgery)跨站请求伪造。
一、攻击原理
图片.png
简单讲就是,利用你正在登陆的网站的cookie,登陆网站,然后从自己的钓鱼网站发送请求,实现用户操作。
二、防御
1.通过 referer、token 或者 验证码 来检测用户提交。
2.尽量不要在页面的链接中暴露用户隐私信息。
3.对于用户修改删除等操作最好都使用post 操作 。
4.避免全站通用的cookie,严格设置cookie的域。
csrf攻击和防御(精简版)
简单讲就是,利用你正在登陆的网站的cookie,登陆网站,然后从自己的钓鱼网站发送请求,实现用户操作。
二、防御
1.通过 referer、token 或者 验证码 来检测用户提交。
2.尽量不要在页面的链接中暴露用户隐私信息。
3.对于用户修改删除等操作最好都使用post 操作 。
4.避免全站通用的cookie,严格设置cookie的域。
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。
推荐阅读更多精彩内容
- (一)CRSF跨站请求伪造 CSRF(Cross-site request forgery)跨站请求伪造,也被称为...
- 与标题应景,先描述下我这个程序老鸟是如何活过来的。 博主86年11月天蝎男。 05年考上2年制大专:今年我19岁。...
