CSRF跨站
跨站请求伪造:
简单的说跨站请求伪造就是一些恶意的用户用自己的表单伪造网页实际的表单发送数据,接下来我就随便写一点:
跨站伪造的产生(form表单的methoud只有在等于post的时候才会有可能发生跨站,get请求不存在,直接上例子吧,看着比较清晰,写来写去麻烦的)
首先先展示一下有可能存在跨站的代码做一展示:
如果是正常的用户在点击提交的时候会弹出如下页面:(为了方便直接在本地测试)
正常用户访问的时候浏览器弹出的页面:
可是有部分非法用户,,他会把你的源代码拷走,在本地新建HTML文档进行访问,接下来我们就试试这种非法勾当
这是我在本地新建的测试页:
当我点击提价按钮的时候还是会弹出那可框:
利用这个漏洞,就会有一些非法的用户提交一些非法的信息:
防护:(就加下边的这一行)
此时从新从伪造的那个页面访问:
此时查看正常访问的网页源代码:
其实这样还可以继续伪造,采用验证码的方式会比较安全,,不过这会没时间了,写的博客也是一团糟。。。
本文来自博客园,作者:一石数字欠我15w!!!,转载请注明原文链接:https://www.cnblogs.com/52-qq/p/7745686.html
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· PostgreSQL 和 SQL Server 在统计信息维护中的关键差异
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 如何使用 Uni-app 实现视频聊天(源码,支持安卓、iOS)
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)