CSRF
Cross Site Request Forgery
跨站请求伪造
下面是一个测试的demo
如下服务
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | let num = 100router.get('/getnum', (req,res) => { console.log(req.headers.referer) var data={ "message": "success", "code": 200, "data": { "balanceAccount": num, } } console.log(num) res.json(data)})router.get('/delete', (req,res) => { num = 0 var data={ "message": "success", "code": 200, } console.log(num) res.json(data)}) |
页面1
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 | <!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title></head><body> <div id="parent"> <p> this is csrf </p> </div> <button>delete</button></body><script> fetch("http://localhost:3000/test/getnum") .then( function (response) { if (response.status !== 200) { console.log("存在一个问题,状态码为:" + response.status); return; } //检查响应文本 response.json().then(function (data) { console.log(data); document.getElementById('parent').innerHTML += data.data.balanceAccount }); } ) .catch(function (err) { console.log("Fetch错误:" + err); });</script></html> |
页面2
1 2 3 4 5 6 7 8 9 10 11 12 | <!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>Document</title></head><body> <img src="http://localhost:3000/test/delete" alt="" srcset=""></body></html> |
当页面1的用户登陆后,再去访问页面2,页面2就可以获取用户的信任凭证(cookie),就可以服务器的上的num给设置为0了.
防范:
1、验证码
2、Referer Check,该方法还能盗图
3、添加token验证
你要觉得这篇文章比较好,记得点推荐!
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 基于Microsoft.Extensions.AI核心库实现RAG应用
· Linux系列:如何用heaptrack跟踪.NET程序的非托管内存泄露
· 开发者必知的日志记录最佳实践
· SQL Server 2025 AI相关能力初探
· Linux系列:如何用 C#调用 C方法造成内存泄露
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· Manus爆火,是硬核还是营销?
· 终于写完轮子一部分:tcp代理 了,记录一下
· 别再用vector<bool>了!Google高级工程师:这可能是STL最大的设计失误
· 单元测试从入门到精通