XSS攻击与CSRF攻击与防御
CSRF:跨站点请求伪造(Cross—Site Request Forgery)
用户在自己电脑浏览一个站点A,进行登录动作后,浏览完后没有退出站点。在新的tab页面打开一个站点B ,加入站点B是一个钓鱼网站,其中有一个连接是跳到站点A,这时候站点A的登录信息你并没退出,站点A认为是用户操作行为,站点B 向站点A 发送恶意请求,比如扣除你账号里的钱。这种操作就是跨站点伪造请求
预防手段一版有
1 验证头信息的Referer,这个一般是存储是从哪个上面跳转过来的地址。
2 加token验证,在每次的请求添加一个token随机数进行验证,如果token的验证不通过直接忽略此请求
只是查找方便的总结