1、首先,一个客户端提供了正确的用户名密码登录了银行网站,银行网站生成了一个Auth Token发送给客户端作为缓存保存;
2、客户端收到了一个黑客发来的诱导网址,该网址是黑客用来转移银行资金的,如果客户端没有关掉1中的网页,直接点击了黑客的网址,那么Auth Token还在,通过这个Auth Token,验证成功后返回200 OK,至此银行的钱就被转移了;
3、用户蒙受了损失,可以通过在银行网站中使用AntiForgeryToken解决问题;
1、首先,一个客户端提供了正确的用户名密码登录了银行网站,银行网站生成了一个Auth Token发送给客户端作为缓存保存;
2、客户端收到了一个黑客发来的诱导网址,该网址是黑客用来转移银行资金的,如果客户端没有关掉1中的网页,直接点击了黑客的网址,那么Auth Token还在,通过这个Auth Token,验证成功后返回200 OK,至此银行的钱就被转移了;
3、用户蒙受了损失,可以通过在银行网站中使用AntiForgeryToken解决问题;