郑州企业网站制作,网站验证码出不来,网教网站源码,设计网站名称CSRF全称 Cross Site Request Forgery#xff0c;跨站请求伪造。通俗理解#xff1a;攻击者盗用当前用户身份#xff0c;发请当前用户的恶意请求#xff1a;如邮件#xff0c;银行转账等。 CSRF原理 CSRF过程 登录网站A#xff0c;生成本地Cookie信息#xff1b;登录危…CSRF全称 Cross Site Request Forgery跨站请求伪造。通俗理解攻击者盗用当前用户身份发请当前用户的恶意请求如邮件银行转账等。 CSRF原理 CSRF过程 登录网站A生成本地Cookie信息登录危险网站BB获取网站A的内容并向A发送请求操作若成功则CSRF过程成功。其中登录B网站行为可以是点击网站A中的链接链接。 CSRF攻击实践 1.若网站A通过GET方式访问银行假设完成转账http://www.bank.com/transfer.php?toBankId3206money1000。如果是通过GET方式访问授权信息存储在cookie中。 2.B页面中生成img标签src设置为A页面中的转账链接http://www.bank.com/transfer.php?toBankId3206money1000但toBankId改成黑客的的账号因为登录信息在cookie中在chrome,firefox等多页签浏览器中同域名请求可以带上同域名的cookie内容 预防措施 1.随机参数 攻击者不能获得第三方的Cookie理论上A页面使用加密随机参数在同一个会话范围内使用同一个加密随机参数如md5(defenseSCRF new Date().getTime() 3600)在第个请求中加入随机参数。 后台校验getSession().get(stoken_name) $pToken 2.验证码 转载一篇文章来凑够200字数~~ 原文链接http://haiyupeter.iteye.com/blog/1842780 最后 很简单,看我粉丝数及这篇文章的推荐数就明白喽 嘟嘟你不禁用首页JS就算了,总得加上token吧转载于:https://www.cnblogs.com/zhaodyun/archive/2013/05/29/3105489.html
