会员
周边
众包
新闻
博问
闪存
所有博客
当前博客
我的博客
我的园子
账号设置
简洁模式
...
退出登录
注册
登录
YKing_匆
一直在成长中笑容面对
博客园
首页
新随笔
联系
管理
订阅
由通过seeion识别保存在cookie中的seeionID引发的CSRF问题
上图是一个完整的CSRF攻击过程解释图
重点是第三句话
用户在没有登出的情况下,被攻击者获得了SESSIONID信息,伪造真用户登录
二、CSRF防御
通过 referer、token 或者 验证码 来检测用户提交。
尽量不要在页面的链接中暴露用户隐私信息。
对于用户修改删除等操作最好都使用post 操作 。
避免全站通用的cookie,严格设置cookie的域。
posted on
2018-11-20 17:51
YKing_匆
阅读(
367
) 评论(
0
)
编辑
收藏
举报
会员力量,点亮园子希望
刷新页面
返回顶部
公告