打赏

csrf

(1)get类型攻击

而且 用户也是登陆了目标银行

(2)post类型

3、防范

(1)验证码

(2)refer头,缺点,有时请求不会带refer头

(3)token

 

SameSite

可以对 Cookie 设置 SameSite 属性。该属性设置 Cookie 不随着跨域请求发送,该属性可以很大程度减少 CSRF 的攻击,但是该属性目前并不是所有浏览器都兼容。

#验证 Referer

对于需要防范 CSRF 的请求,我们可以通过验证 Referer 来判断该请求是否为第三方网站发起的。

#Token

服务器下发一个随机 Token(算法不能复杂),每次发起请求时将 Token 携带上,服务器验证 Token 是否有效。

posted @ 2019-03-02 17:57  孟繁贵  阅读(256)  评论(0编辑  收藏  举报
TOP