XSS攻击与CSRF攻击与防御

CSRF:跨站点请求伪造(Cross—Site Request Forgery)

    用户在自己电脑浏览一个站点A,进行登录动作后,浏览完后没有退出站点。在新的tab页面打开一个站点B ,加入站点B是一个钓鱼网站,其中有一个连接是跳到站点A,这时候站点A的登录信息你并没退出,站点A认为是用户操作行为,站点B 向站点A 发送恶意请求,比如扣除你账号里的钱。这种操作就是跨站点伪造请求

预防手段一版有

    1 验证头信息的Referer,这个一般是存储是从哪个上面跳转过来的地址。

    2 加token验证,在每次的请求添加一个token随机数进行验证,如果token的验证不通过直接忽略此请求

   

posted on 2019-12-25 17:54  totau  阅读(186)  评论(0编辑  收藏  举报

导航