跨站请求伪造 CSRF 漏洞分析及代码案例

分享一篇详细的感觉特别好的文章

https://www.cnblogs.com/qmfsun/p/5779469.html

 

理解：跨站 请求 伪造（伪造页面、诱惑点击 然后伪造用户身份进行操作）

          攻击者在 用户不知情的情况下，伪造发出一个未经授权的请求，进行攻击，伪造成用户的身份进行操作。

　　

常见页面：修改密码、表单提交

解决方法：

校验referer(包含host)

携带csrf_token（但也有可能结合XSS 获取token）

修改密码页面要求 必须输入原始密码才可以改密码，有效防止。  

验证码短信