跨站请求伪造 CSRF 漏洞分析及代码案例

分享一篇详细的感觉特别好的文章

https://www.cnblogs.com/qmfsun/p/5779469.html

 

理解:跨站 请求 伪造伪造页面、诱惑点击 然后伪造用户身份进行操作

          攻击者在 用户不知情的情况下,伪造发出一个未经授权的请求,进行攻击,伪造成用户的身份进行操作。

  

常见页面:修改密码、表单提交

解决方法:

校验referer(包含host)

携带csrf_token(但也有可能结合XSS 获取token

修改密码页面要求 必须输入原始密码才可以改密码,有效防止。  

验证码短信

转载于:https://www.cnblogs.com/jayus/p/11389204.html

你可能感兴趣的:(跨站请求伪造 CSRF 漏洞分析及代码案例)