跨站请求伪造-csrf

跨站请求伪造 CSRF

原理

csrf 是利用已知的开源软件的默认配置或者动作，制作的一种伪造触发动作，来达到拿下系统的手段。

把请求的palay 隐藏在 web页面的留言板或者论坛的回复 捆绑到其他软件的配置文件中，引诱管理员点击上钩。




防御手段 ：  
客户端防范

服务端防范
     基本防御： 判断请求头的 referer 是否从固定的url 请求过来的，不是的返回报错。

            通过js 代码加上请求头配合 绕过referer

     中等防御： 判断 user_token 
            cookie 

安全设备防范


网络设备 路由器

csrf  开启远程web管理功能