客户端安全-csrf
1.需求
理解并掌握CSRF攻击和防御
2.csrf的产生
盗个图说明(http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html)
B伪造成C,向A发起请求,达到了请求伪造的目的。
3.解决方式
1.处理表单数据的时候加一个标志,csrf_token。服务端生成,生成方式可以包含时间戳并加密,返回给客户端,每次客户端请求的时候要带上这个csrf_token,服务端验证,验证过了才执行真实的请求。(唯一的问题就是2个表单同时打开,会出现csrf_token覆盖的问题。可以提示前端,会话失效,请刷新页面)
2.把token存在表单和cookie中,提交的时候验证相等,缺点是token信息都在客户端(一个表单内,一个cookie中), 可被别人获得
2.用验证码图片。也是一个道理。
4.解决方案
参考CI的框架的解决方案
参考资料:
(http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html)