摘要: 框架与CSRF防御CSRF攻击的目标,一般都会产生“写数据”操作的URL,比如“增”、“删”、“改”;而“读数据”操作并不是CSRF攻击的目标,因为在CSRF的攻击过程中攻击者无法获取到服务器端返回的数据,攻击者只是借用户之手触发服务器动作,所以读数据对于CSRF来说并无直接的意义(但是如果同时存在XSS漏洞或者其他的跨域漏洞,则可能会引起别的问题,在这里,仅仅就CSRF对抗本身进行讨论)。因此,在Web应用开发中,有必要对“读操作”和“写操作”予以区分,比如要求所有的“写操作”都使用HTTP POST。在很多讲述CSRF防御的文章中,都要求使用HTTP POST进行防御,但实际上POST本身 阅读全文
posted @ 2012-04-12 19:29 博文视点(北京)官方博客 阅读(729) 评论(0) 推荐(0) 编辑