CSRF(Cross-site request forgery)跨站请求伪造 攻击者可以盗用你的登陆信息,以你的身份模拟发送各种请求 主要是因为Web的隐式身份验证机制,Web的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。
- 登录受信任网站A,并在本地生成cookie
- 在不退出A的情况下,访问B网站
- 每次验证token(没受到XSS攻击有效)
- 每次输入验证码(用户体验差)
- 每次输入token+防重放攻击的唯一值
- 验证请求头(Referer)
CSRF(Cross-site request forgery)跨站请求伪造 攻击者可以盗用你的登陆信息,以你的身份模拟发送各种请求 主要是因为Web的隐式身份验证机制,Web的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的。