csrf
(1)get类型攻击
而且 用户也是登陆了目标银行
(2)post类型
3、防范
(1)验证码
(2)refer头,缺点,有时请求不会带refer头
(3)token
SameSite
可以对 Cookie 设置 SameSite
属性。该属性设置 Cookie 不随着跨域请求发送,该属性可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容。
#验证 Referer
对于需要防范 CSRF 的请求,我们可以通过验证 Referer 来判断该请求是否为第三方网站发起的。
#Token
服务器下发一个随机 Token(算法不能复杂),每次发起请求时将 Token 携带上,服务器验证 Token 是否有效。
作者:孟繁贵 Email:meng010387@126.com 期待共同进步!