php之csrf

   csrf(跨站请求伪造)

  例: 你的网站添加用户是get方式进行添加,我发了一个链接让你点击下, 有可能就添加一个用户,为什么???这就是csrf。

  当然这个连接不是里面的内容肯定是入侵者精心构造好的页面 例

  <img src="url/add.php?username=0x007.blog.51cto.com&password=0x007 ">(请勿较真 url随便写的 写这篇文章的时候 全部根据自己经验来写 没有任何抄袭)

 当管理员点击这样的页面就会给我们添加个用户进去。


防御办法:

1、正确使用GET,POST和Cookie;
2、在non-GET请求中使用Security token


你可能感兴趣的:(php只csrf)