首先说明一下什么是CSRF(Cross Site Request Forgery)?
跨站请求伪造是指攻击者可以在第三方站点制造HTTP请求并以用户在目标站点的登录态发送到目标站点,而目标站点未校验请求来源使第三方成功伪造请求。
为什么会有CSRF?
JS控制浏览器发送请求的时候,浏览器是根据目标站点,而不是来源站点,来发送cookie的,如果当前会话中有目标站点的cookie,就发送出去。核心问题是浏览器的会话机制,是跨站请求伪造漏洞的根源。
解决方法有三种:
1 使用token
2 限制refer
3 使用验证码技术
原文:http://blog.csdn.net/hongchangfirst/article/details/10186977
作者:hongchangfirst
hongchangfirst的主页:http://blog.csdn.net/hongchangfirst